- 21,416
- 46
- 8 Ноя 2022
UNC5291 получила доступ к самому ценному и превратила защиту в оружие против её владельцев.
В интернете выявлено 269 тысяч устройств F5 BIG-IP, открытых для удалённого доступа, несмотря на недавнее заявление компании о масштабной компрометации её инфраструктуры. Обнаружение провела некоммерческая организация Shadowserver, которая занимается мониторингом сетевой безопасности. Согласно их данным, почти 143 тысячи уязвимых экземпляров находятся в США, остальные — в Европе и Азии. Степень их защищённости от потенциальных атак остаётся неизвестной.
Накануне компания F5 официально подтвердила , что стала жертвой хакерской операции с признаками государственной координации. В ходе взлома злоумышленники получили доступ к исходному коду и нераскрытым уязвимостям продуктов серии BIG-IP. Хотя сведений об эксплуатации этих уязвимостей в реальных атаках пока не поступало, компания уже выпустила набор обновлений для 44 проблемных компонентов, включая те, которые фигурировали в компрометации.
Пользователям было настоятельно рекомендовано немедленно обновить прошивки BIG-IP, F5OS, BIG-IP Next для Kubernetes, BIG-IQ и клиентов APM. При этом в частных уведомлениях, направленных заказчикам, F5 связывала произошедшее с китайской группировкой UNC5291, хотя публично эта версия пока не озвучивалась.
Дополнительно компания распространила инструкцию по анализу следов вторжения, в которой фигурирует вредоносная программа Brickstorm . Этот бэкдор на языке Go в 2024 году был замечен Google во время изучения кибератак, проводимых UNC5291. По внутренней информации F5, атакующие могли находиться в инфраструктуре компании не менее года.
Группировка UNC5291 ранее была замечена в атаках с использованием нулевых уязвимостей в продуктах Ivanti, направленных на государственные учреждения. В арсенале атакующих находилось собственное вредоносное ПО, включая образцы Zipline и Spawnant.
На фоне раскрытия информации Агентство США по кибербезопасности и инфраструктурной безопасности (CISA) выпустило экстренное предписание для федеральных ведомств. До 22 октября они обязаны установить обновления на продукты F5OS, BIG-IP TMOS, BIG-IQ и BNK/CNF. Для остальных решений F5 крайний срок продлён до 31 октября.
Также предписано отключить и вывести из эксплуатации устройства, достигшие окончания срока поддержки, поскольку они больше не получают обновлений и могут быть легко скомпрометированы. CISA потребовала провести инвентаризацию всех устройств F5 в инфраструктуре, оценить доступность их интерфейсов управления из интернета и применить актуальные обновления.
За последние годы уязвимости BIG-IP неоднократно становились целями атак как со стороны киберпреступников, так и государственно связанных групп. С их помощью злоумышленники получали доступ к внутренним серверам, похищали конфиденциальные данные, внедряли шпионские компоненты, стирали информацию и закреплялись в инфраструктуре. В случае компрометации устройства F5 BIG-IP могут раскрывать атакующим пароли, ключи API и позволять перемещаться внутри сети жертвы.
Компания F5 входит в список Fortune 500 и обслуживает более 23 тысяч клиентов по всему миру, включая 48 из 50 крупнейших корпораций США.
В интернете выявлено 269 тысяч устройств F5 BIG-IP, открытых для удалённого доступа, несмотря на недавнее заявление компании о масштабной компрометации её инфраструктуры. Обнаружение провела некоммерческая организация Shadowserver, которая занимается мониторингом сетевой безопасности. Согласно их данным, почти 143 тысячи уязвимых экземпляров находятся в США, остальные — в Европе и Азии. Степень их защищённости от потенциальных атак остаётся неизвестной.
Накануне компания F5 официально подтвердила , что стала жертвой хакерской операции с признаками государственной координации. В ходе взлома злоумышленники получили доступ к исходному коду и нераскрытым уязвимостям продуктов серии BIG-IP. Хотя сведений об эксплуатации этих уязвимостей в реальных атаках пока не поступало, компания уже выпустила набор обновлений для 44 проблемных компонентов, включая те, которые фигурировали в компрометации.
Пользователям было настоятельно рекомендовано немедленно обновить прошивки BIG-IP, F5OS, BIG-IP Next для Kubernetes, BIG-IQ и клиентов APM. При этом в частных уведомлениях, направленных заказчикам, F5 связывала произошедшее с китайской группировкой UNC5291, хотя публично эта версия пока не озвучивалась.
Дополнительно компания распространила инструкцию по анализу следов вторжения, в которой фигурирует вредоносная программа Brickstorm . Этот бэкдор на языке Go в 2024 году был замечен Google во время изучения кибератак, проводимых UNC5291. По внутренней информации F5, атакующие могли находиться в инфраструктуре компании не менее года.
Группировка UNC5291 ранее была замечена в атаках с использованием нулевых уязвимостей в продуктах Ivanti, направленных на государственные учреждения. В арсенале атакующих находилось собственное вредоносное ПО, включая образцы Zipline и Spawnant.
На фоне раскрытия информации Агентство США по кибербезопасности и инфраструктурной безопасности (CISA) выпустило экстренное предписание для федеральных ведомств. До 22 октября они обязаны установить обновления на продукты F5OS, BIG-IP TMOS, BIG-IQ и BNK/CNF. Для остальных решений F5 крайний срок продлён до 31 октября.
Также предписано отключить и вывести из эксплуатации устройства, достигшие окончания срока поддержки, поскольку они больше не получают обновлений и могут быть легко скомпрометированы. CISA потребовала провести инвентаризацию всех устройств F5 в инфраструктуре, оценить доступность их интерфейсов управления из интернета и применить актуальные обновления.
За последние годы уязвимости BIG-IP неоднократно становились целями атак как со стороны киберпреступников, так и государственно связанных групп. С их помощью злоумышленники получали доступ к внутренним серверам, похищали конфиденциальные данные, внедряли шпионские компоненты, стирали информацию и закреплялись в инфраструктуре. В случае компрометации устройства F5 BIG-IP могут раскрывать атакующим пароли, ключи API и позволять перемещаться внутри сети жертвы.
Компания F5 входит в список Fortune 500 и обслуживает более 23 тысяч клиентов по всему миру, включая 48 из 50 крупнейших корпораций США.
- Источник новости
- www.securitylab.ru
