Per quanto tempo non si sa con precisione, ma quello che viene definito come un "highly sophisticated nation-state threat actor" è penetrato nei sistemi di F5 e vi è rimasto a lungo, conquistando tra l'altro l'accesso all'ambiente di sviluppo dei prodotti BIG-IP e alle piattaforme che contengono le informazioni tecniche interne raccolte e usate dallo staff dell'azienda di cybersecurity. A comunicarlo è F5 stessa, che si è accorta della breccia lo scorso agosto. Di conseguenza sono state attivate le opportune misure di contenimento - dal momento della scoperta, secondo F5, non sono state rilevate attività sospette - ed è partita una indagine resa pubblica solo adesso.

F5 ha coinvolto varie aziende di cybersecurity - tra cui CrowdStrike, Mandiant, IOActive, NCC Group - per capire cosa sia successo con precisione. E soprattutto se, come e quanto il threat actor abbia eventualmente compromesso la catena di sviluppo e distribuzione degli aggiornamenti software dei prodotti F5. Per quello che si sa al momento, il threat actor ha certamente sottratto file dall'ambiente di sviluppo della linea BIG-IP e dalle piattaforme di knowledge management tecniche interne. I file sottratti contenevano parte del codice sorgente BIG-IP e informazioni su vulnerabilità non divulgate, sempre dei prodotti BIG-IP, su cui F5 stava lavorando. 

L'azienda bada a sottolineare di non essere a conoscenza "di alcun sfruttamento attivo di vulnerabilità F5 non divulgate". Ma per i clienti F5 il messaggio principale da recepire è che è decisamente opportuno aggiornare il prima possibile il software di sistema dei prodotti coinvolti in qualche modo nella breccia. L'azienda di Seattle ha rilasciato aggiornamenti di sicurezza per le linee BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ, i client di Access Policy Manager. La violazione non avrebbe invece coinvolto i flussi di sviluppo e implementazione del "tuttofare" Nginx (che è open source, ma di cui F5 cura le distribuzioni enterprise e il supporto commerciale) e delle piattaforme cloud F5 Silverline e F5 Distributed Cloud Services.

Intervenire subito è importante. Avendo avuto accesso al codice sorgente proprietario di F5, il threat actor che ha violato i sistemi dell'azienda ha ora un vantaggio tecnologico rilevante se intende attaccare i dispositivi e il software F5: può condurre analisi statiche e dinamiche sul codice, per identificare bug e vulnerabilità anche zero-day, e per sviluppare exploit mirati. In teoria, un attaccante in possesso di queste informazioni potrebbe penetrare e muoversi all'interno della rete di un'organizzazione utente F5, sottrarre dati e stabilire un accesso persistente ai sistemi.

Se, come afferma F5, l'attacco che ha subìto è stato tanto sofisticato da rimandare a un attaccante state-sponsored o proprio a uno Stato, è evidente che il vero bersaglio dell'azione ostile non è F5 in sé ma i suoi utenti di alto profilo. I prodotti di F5 sono usati da grandi aziende e da agenzie governative - non a caso la CISA statunitense si è mossa subito - e soprattutto queste ultime sono bersagli appetibili per le campagne state-sponsored.

Comunque, le indagini portate avanti da F5 e dai suoi partner indicano per ora che la supply chain software dell'azienda non è stata compromessa. In pratica: il threat actor conosce sì il codice sorgente pre-patch ma non ci sono prove che lo abbia modificato in modo da introdurre vulnerabilità o backdoor da sfruttare in un secondo momento, e che queste modifiche siano arrivate in produzione e agli utenti. NCC Group e IOActive hanno svolto security assessment mirati in tal senso - la linea BIG-IP è quella principalmente sotto esame - senza trovare vulnerabilità introdotte da terzi.

Il vero bersaglio

La violazione dei sistemi F5 sembra per ora essere stata legata soprattutto ai suoi prodotti di sicurezza. Non c'è cioè stata un'azione mirata in modo specifico a esfiltrare i dati dei clienti di F5 che sono contenuti nei sistemi di CRM, supporto tecnico o finanziari. F5 però segnala che alcuni dei file sottratti dalla sua piattaforma di knowledge management "contenevano informazioni di configurazione o implementazione relative a una piccola percentuale di clienti". 

Patch di sicurezza a parte, F5 si sta ovviamente muovendo da un lato per rassicurare i suoi clienti, dall'altro per rafforzare le sue difese contro nuovi attacchi simili a quello che ha appena subito. Nel primo ambito l'azienda offre in prima battuta informazioni e supporto tecnico, in seconda battuta rendendo disponibile, quando sarà pronta, una estensione di CrowdStrike Falcon EDR e Overwatch Threat Hunting specifica per i prodotti BIG-IP. Tutti gli utenti BIG-IP con una forma attiva di supporto avranno un abbonamento gratuito a Falcon EDR.

Il lavoro di "irrobustimento" dei sistemi F5 sarà invece più esteso e lungo. F5 spiega che innanzitutto proseguirà nelle attività di penetration testing e di esame del codice sorgente delle sue piattaforme, sempre grazie a NCC Group e IOActive. Più in generale, metterà in atto tutta una serie di azioni specifiche e mirate, dal rafforzamento nella gestione delle credenziali di accesso per i suoi sistemi al miglioramento dell'automazione nel patch management, sino allo "hardening" di tutto il processo di sviluppo prodotto.