Ribuan jaringan—banyak di antaranya yang dioperasikan oleh pemerintah AS dan perusahaan-perusahaan Fortune 500—menghadapi “ancaman nyata” karena dibobol oleh kelompok peretas negara menyusul pelanggaran yang dilakukan oleh pembuat perangkat lunak besar, pemerintah federal memperingatkan pada hari Rabu.
F5, pembuat perangkat lunak jaringan yang berbasis di Seattle, mengungkapkan pelanggaran tersebut pada hari Rabu. F5 mengatakan kelompok ancaman “canggih” yang bekerja untuk pemerintah suatu negara yang dirahasiakan telah secara diam-diam dan terus-menerus tinggal di jaringannya dalam “jangka panjang.” Peneliti keamanan yang pernah menanggapi gangguan serupa di masa lalu mengartikan bahwa peretas berada di dalam jaringan F5 selama bertahun-tahun.
Belum pernah terjadi sebelumnya
Selama waktu itu, kata F5, para peretas mengambil alih segmen jaringan yang digunakan perusahaan untuk membuat dan mendistribusikan pembaruan untuk BIG IP, rangkaian peralatan server yang F5 mengatakan digunakan oleh 48 dari 50 perusahaan terkemuka dunia. Pengungkapan pada hari Rabu selanjutnya mengatakan bahwa kelompok ancaman mengunduh informasi kode sumber BIG-IP tentang kerentanan yang telah ditemukan secara pribadi tetapi belum ditambal. Para peretas juga memperoleh pengaturan konfigurasi yang digunakan beberapa pelanggan di dalam jaringan mereka.
Pengendalian sistem pembangunan dan akses ke kode sumber, konfigurasi pelanggan, dan dokumentasi kerentanan yang belum ditambal berpotensi memberikan para peretas pengetahuan yang belum pernah ada sebelumnya tentang kelemahan dan kemampuan untuk mengeksploitasinya dalam serangan rantai pasokan pada ribuan jaringan, yang banyak di antaranya bersifat sensitif. Pencurian konfigurasi pelanggan dan data lainnya semakin meningkatkan risiko penyalahgunaan kredensial sensitif, kata F5 dan pakar keamanan luar.
Pelanggan menempatkan BIG-IP di bagian paling ujung jaringan mereka untuk digunakan sebagai penyeimbang beban dan firewall, serta untuk pemeriksaan dan enkripsi data yang masuk dan keluar dari jaringan. Mengingat posisi jaringan BIG-IP dan perannya dalam mengatur lalu lintas untuk server web, kompromi sebelumnya telah mengizinkan musuh untuk memperluas akses mereka ke bagian lain dari jaringan yang terinfeksi.
F5 mengatakan bahwa penyelidikan yang dilakukan oleh dua perusahaan respons intrusi dari luar belum menemukan bukti adanya serangan rantai pasokan. Perusahaan melampirkan surat dari perusahaan IOActive dan NCC Group yang membuktikan bahwa analisis kode sumber dan saluran pembangunan tidak menemukan tanda-tanda bahwa “aktor ancaman memodifikasi atau memasukkan kerentanan apa pun ke dalam item dalam cakupan.” Perusahaan-perusahaan tersebut juga mengatakan mereka tidak mengidentifikasi bukti kerentanan kritis dalam sistem. Penyelidik, termasuk Mandiant dan CrowdStrike, tidak menemukan bukti bahwa data dari CRM, keuangan, manajemen kasus dukungan, atau sistem kesehatan telah diakses.
Perusahaan merilis pembaruan untuk produk BIG-IP, F5OS, BIG-IQ, dan APM. Sebutan CVE dan detail lainnya adalah Di Sini. Dua hari lalu, F5 diputar Sertifikat penandatanganan BIG-IP, meskipun belum ada konfirmasi langsung bahwa tindakan tersebut merupakan respons terhadap pelanggaran tersebut.
