F5 meldt een cyberaanval waarbij hackers zijn binnengebroken in de ontwikkelomgeving. Klantendata zouden buiten schot blijven.
F5 heeft bevestigd dat een ‘geavanceerde cyberaanvaller’ maandenlang ongeautoriseerde toegang had tot interne systemen, waaronder de ontwikkelomgeving van BIG-IP. Daarbij zijn ook gevoelige bestanden geëxfiltreerd. Volgens F5 gaat het om een aanval van een staatsgesponsorde actor.
De indringer had langdurige toegang tot de ontwikkelomgeving van BIG-IP en interne kennisplatformen. Daarbij zijn onder andere delen van de BIG-IP-broncode en informatie over nog niet vrijgegeven kwetsbaarheden buitgemaakt. De kwetsbaarheden zouden volgens F5 momenteel niet actief worden misbruikt en bevatten geen kritieke of remote code execution-issues.
Geen klantendata
De IT-leverancier benadrukt dat er geen aanwijzingen zijn dat klantgegevens, CRM-systemen of financiële systemen zijn aangetast. Dat biedt geen garantie dat het dat over een week ook nog zegt. In enkele geëxfiltreerde bestanden zat wel configuratie- of implementatie-informatie van een beperkt aantal klanten. F5 zal betrokken klanten rechtstreeks op de hoogte brengen.
Verder werd er geen toegang vastgesteld tot de NGINX-broncode of -systemen, noch tot de F5 Distributed Cloud Services of Silverline. Onafhankelijke beveiligingsfirma’s hebben bevestigd dat de software supply chain van F5 intact is gebleven.
Voorzorg
In reactie op het incident heeft F5 beveiligingsupdates uitgebracht voor BIG-IP, F5OS, BIG-IP Next voor Kubernetes, BIG-IQ en APM-clients. Het bedrijf adviseert klanten met klem om deze updates zo snel mogelijk te installeren. Daarnaast zijn er extra beveiligingsmaatregelen getroffen in de ontwikkelomgeving, zoals strengere toegangscontroles, verbeterde netwerkbeveiliging en monitoringtools.
F5 werkt samen met externe partijen zoals CrowdStrike en Mandiant en biedt klanten ook concrete hulpmiddelen aan. Zo is er een threat hunting-gids beschikbaar, is de F5 iHealth-tool uitgebreid met hardening-checks, en zijn handleidingen gepubliceerd voor SIEM-integratie en monitoring van verdachte logins. De klantendienst staat ter beschikking voor klanten met vragen of zorgen over het incident. De IT-leverancier blijft de getroffen systemen verder onderzoeken.