F5 signale une cyberattaque au cours de laquelle des pirates ont pénétré dans l’environnement de développement. Les données des clients seraient restées hors d’atteinte.
F5 a confirmé qu’un ‘cyberattaquant sophistiqué’ avait eu un accès non autorisé à des systèmes internes pendant des mois, y compris l’environnement de développement de BIG-IP. Des fichiers sensibles ont également été exfiltrés. Selon F5, il s’agit d’une attaque menée par un acteur parrainé par un État.
L’intrus a eu un accès prolongé à l’environnement de développement de BIG-IP et aux plateformes de connaissances internes. Entre autres, des parties du code source de BIG-IP et des informations sur des vulnérabilités non encore divulguées ont été dérobées. Selon F5, ces vulnérabilités ne seraient pas activement exploitées actuellement et ne contiendraient pas de problèmes critiques ou d’exécution de code à distance.
Pas de données clients
Le fournisseur IT souligne qu’il n’y a aucune indication que les données des clients, les systèmes CRM ou les systèmes financiers aient été compromis. Cela n’offre aucune garantie que ce sera encore le cas dans une semaine. Certains fichiers exfiltrés contenaient des informations de configuration ou de déploiement pour un nombre limité de clients. F5 informera directement les clients concernés.
De plus, aucun accès n’a été constaté au code source ou aux systèmes NGINX, ni aux F5 Distributed Cloud Services ou Silverline. Des sociétés de sécurité indépendantes ont confirmé que la chaîne d’approvisionnement logiciel de F5 est restée intacte.
Précaution
En réponse à l’incident, F5 a publié des mises à jour de sécurité pour BIG-IP, F5OS, BIG-IP Next pour Kubernetes, BIG-IQ et les clients APM. L’entreprise conseille vivement aux clients d’installer ces mises à jour le plus rapidement possible. En outre, des mesures de sécurité supplémentaires ont été mises en place dans l’environnement de développement, telles que des contrôles d’accès plus stricts, une sécurité réseau améliorée et des outils de surveillance.
F5 collabore avec des parties externes telles que CrowdStrike et Mandiant et propose également des outils concrets aux clients. Ainsi, un guide de chasse aux menaces est disponible, l’outil F5 iHealth a été étendu avec des vérifications de renforcement, et des manuels ont été publiés pour l’intégration SIEM et la surveillance des connexions suspectes. Le service client est à disposition des clients ayant des questions ou des inquiétudes concernant l’incident. Le fournisseur IT continue d’enquêter sur les systèmes affectés.