O governo dos Estados Unidos divulgou nesta quarta-feira (15) uma diretiva de emergência para todos os órgãos civis do Executivo depois de identificar uma tentativa de ataque cibernético contra redes federais. O alerta, expedido pela Agência de Cibersegurança e Segurança de Infraestrutura (CISA), atribui a ofensiva a um grupo hacker ligado a um Estado-nação não especificado.
Falhas em produtos da F5 sob investigação
Segundo a CISA, os invasores obtiveram acesso não autorizado ao código-fonte e a informações sobre vulnerabilidades de dispositivos da F5, fabricante norte-americana de soluções de segurança digital. Esse material poderia ser usado para facilitar ataques contra sistemas governamentais e corporativos.
A diretiva de emergência 26-01 determina que todas as agências:
- façam inventário de equipamentos F5 BIG-IP em uso;
- verifiquem se as interfaces de gerenciamento estão expostas à internet;
- apliquem as atualizações de segurança disponibilizadas pela empresa até 22 de outubro.
Dispositivos fora de suporte devem ser desconectados, e cada órgão deve informar à CISA o plano de desativação.
Riscos apontados pela CISA
A agência adverte que as falhas podem permitir roubo de credenciais, movimentação lateral dentro das redes, exfiltração de dados sensíveis e acesso persistente a sistemas críticos. O alerta vale para versões físicas e virtuais das plataformas BIG-IP e F5OS.
Repercussão no Reino Unido
O Centro Nacional de Cibersegurança do Reino Unido (NCSC) confirmou o comprometimento dos sistemas da F5 e recomendou que organizações britânicas apliquem os patches mais recentes, limitem o acesso remoto às interfaces de administração e realizem auditorias de segurança sempre que houver suspeita de invasão.
Posicionamento da F5
Em comunicado de 15 de outubro, a F5 informou ter sido alvo de um ataque sofisticado, ativo desde agosto, conduzido por um grupo patrocinado por Estado. Os criminosos baixaram arquivos do ambiente de desenvolvimento do produto BIG-IP, incluindo trechos de código-fonte e dados de vulnerabilidades ainda não divulgadas.
Imagem: T. Schneider
A empresa afirma não ter encontrado evidências de manipulação em sua cadeia de desenvolvimento nem sinais de exploração ativa das falhas. Segundo a F5, apenas um número limitado de clientes teve informações acessadas e está sendo contatado individualmente.
Para conter o incidente, a companhia contratou CrowdStrike, Mandiant, NCC Group e IOActive. Entre as medidas adotadas estão rotação de credenciais, reforço de controles de acesso, aprimoramento de monitoramento e oferta gratuita do sistema Falcon EDR da CrowdStrike para usuários do BIG-IP.
A F5 acrescentou que continua trabalhando para fortalecer a segurança de sua infraestrutura e orientou todos os clientes a instalarem as atualizações mais recentes disponíveis.
Com informações de WizyThec
