はじめに:大規模なF5 BIG-IPの露出
インターネットセキュリティの非営利団体であるShadowserver Foundationは、26万6,000台以上のF5 BIG-IPインスタンスがオンラインに露出していることを発見しました。これは、F5が今週開示したセキュリティ侵害の後に判明したもので、これらのデバイスがリモート攻撃に晒される危険性があることを示しています。
F5のセキュリティ侵害と対応
F5は水曜日、国家支援ハッカーが同社のネットワークに侵入し、ソースコードと未公開のBIG-IPセキュリティ脆弱性に関する情報を盗んだことを明らかにしました。しかし、攻撃者がこれらの脆弱性を悪用した証拠は見つかっていないと述べています。同日、F5は盗まれた脆弱性を含む44の脆弱性に対処するパッチをリリースし、顧客に対しデバイスをできるだけ早く更新するよう強く促しました。
- BIG-IP
- F5OS
- BIG-IP Next for Kubernetes
- BIG-IQ
- APMクライアント
これらの製品に対するアップデートが現在利用可能です。F5は、未公開の重大な脆弱性やリモートコード実行の脆弱性に関する情報はないものの、BIG-IPソフトウェアの迅速な更新を強く推奨しています。
攻撃の背景と脅威アクター
ブルームバーグの木曜日の報道によると、F5は非公開の顧客向けアドバイザリで、今回の攻撃を中国に関連付けているとされています。F5はまた、顧客向けに脅威ハンティングガイドを共有しており、そこには「Brickstorm」マルウェアが言及されています。これは、Googleが2024年4月にUNC5291(中国関連の脅威グループ)による攻撃の調査中に初めて発見したGoベースのバックドアです。F5は顧客に対し、脅威アクターが同社のネットワーク内で少なくとも1年間活動していたと伝えています。UNC5291は以前、Ivantiのゼロデイ脆弱性を悪用した政府機関への攻撃に関与し、ZiplineやSpawnantといったカスタムマルウェアを使用していたことが知られています。
露出状況とCISAの緊急指令
Shadowserverは現在、F5 BIG-IPのフィンガープリントを持つ266,978のIPアドレスを追跡しており、そのほぼ半数(142,000以上)が米国に、残りの100,000台がヨーロッパとアジアに集中しています。しかし、これらのデバイスのうち、今週開示されたBIG-IPの脆弱性に対する攻撃からどれだけがすでに保護されているかについての情報はありません。
今週、CISA(米国サイバーセキュリティ・社会基盤安全保障庁)も緊急指令を発令し、米連邦機関に対し、F5OS、BIG-IP TMOS、BIG-IQ、BNK/CNF製品については10月22日までに最新のF5セキュリティパッチを適用するよう義務付けました。その他のF5ハードウェアおよびソフトウェアアプライアンスについては、期限を10月31日まで延長しています。CISAはまた、サポート終了したインターネットに露出しているすべてのF5デバイスを、パッチが提供されず容易に侵害される可能性があるため、切断および廃止するよう命じています。
過去の攻撃事例と影響
近年、国家支援およびサイバー犯罪の脅威グループは、BIG-IPの脆弱性を標的としてきました。これにより、内部サーバーのマッピング、被害者ネットワーク上のデバイスの乗っ取り、企業ネットワークの侵害、機密ファイルの窃盗、データ消去マルウェアの展開などが行われています。侵害されたF5 BIG-IPアプライアンスは、脅威アクターが認証情報やAPIキーを盗み、ターゲットのネットワーク内で横移動し、永続性を確立することを可能にします。
F5は、サイバーセキュリティ、アプリケーションデリバリーネットワーキング(ADN)、およびサービスを世界中の23,000以上の顧客に提供するFortune 500のテクノロジー大手であり、Fortune 50企業のうち48社が顧客に含まれています。この広範な顧客基盤を考慮すると、今回の脆弱性の影響は非常に大きいと考えられます。