F5システムへの侵入

エンタープライズ技術ベンダーであるF5は、国家支援型ハッカーによって同社のシステムが侵害され、生産環境およびエンジニアリングリソースポータルにアクセスされたことを発表しました。F5は声明で、「高度に洗練された国家支援型脅威アクター」が「エンジニアリング知識管理プラットフォーム」と主力製品であるBIG-IPの開発プラットフォームに侵入し、一部のファイルを窃取したと述べています。同社は8月に攻撃を発見しましたが、侵入がいつ始まったかについては明らかにしていません。

盗まれた情報と影響

窃取されたファイルには、BIG-IPのソースコードと、F5が対応中であった未公開の脆弱性に関する情報が含まれていました。F5は、これらの脆弱性が重大な欠陥やリモートコード実行につながるものではないと考えており、未公開のF5脆弱性が積極的に悪用された証拠はないと付け加えています。しかし、知識管理プラットフォームから盗まれたファイルには、ごく一部の顧客がF5製品をどのように設定していたかに関する情報も含まれており、これがハッカーによる標的組織への攻撃計画に利用される可能性が指摘されています。ハッカーはF5のシステムに対し、「長期間にわたる永続的なアクセス」を保持していたとのことです。

CISAの緊急指令

この事態を受け、米国政府は、連邦機関がF5製品を介してハッキングされていないか緊急に調査を進めています。米サイバーセキュリティ・インフラセキュリティ庁（CISA）は、連邦民間機関に対し、以下の緊急指令を発令しました。

• 影響を受けるすべてのデバイスを特定すること。
• 特定の製品の管理インターフェースを公共インターネットから削除すること。
• F5のセキュリティアップデートを適用すること。

ほとんどの製品のパッチ適用期限は10月22日、残りは10月31日とされています。また、CISAは、ミッションクリティカルなニーズがある場合を除き、サポート終了（EOL）デバイスをネットワークから切断するよう命じています。CISAは現時点では連邦機関の侵害を認識していませんが、今回の事件は、ロシアによるSolarWindsスパイ活動と比較され、F5製品の脆弱性を悪用することで、ハッカーが侵害された組織のネットワークを横断し、永続的なアクセスを確立し、パスワードやAPIキーを含む機密データを窃取する可能性が懸念されています。

サプライチェーンへの懸念

F5は、同社のソフトウェアサプライチェーン（ソースコード、ビルド、リリースパイプラインを含む）への改ざんの証拠はないと述べ、この発見は2つの独立した監査によって確認されたとしています。しかし、CISAのサイバーセキュリティ担当エグゼクティブアシスタントディレクターであるニック・アンダーセン氏は、F5の政府および民間顧客への「下流への影響」を非常に懸念していると述べました。彼は、これが「サプライチェーンに影響を与えるより広範な戦略的キャンペーンの一部」であると指摘し、連邦政府全体で数千のF5製品が使用されていることを強調しました。CISAは、政府機関や州・地方政府に対し、この状況について警告を発しており、政府閉鎖や情報共有法の期限切れがCISAの対応能力を妨げていないことを強調しています。

元記事: https://www.cybersecuritydive.com/news/f5-supply-chain-breach-nation-state-cisa/802887/