Siber Güvenlik ve Altyapı Güvenlik Ajansı Çarşamba günü, bir ulus devlet siber aktörünün F5'in kaynak koduna yetkisiz erişim elde ettiğini doğruladıktan sonra, bir teknoloji satıcısı olan F5 tarafından üretilen belirli cihaz ve yazılımlardaki kritik güvenlik açıklarını derhal düzeltmeleri için tüm federal kurumlara talimat veren kapsamlı bir acil durum emri yayınladı.
ABD'nin siber ve fiziksel altyapısına yönelik riskleri yöneten İç Güvenlik Bakanlığı'nın bir parçası olan CISA, şirketin yabancı bir tehdit aktörünün kaynak kodunu kullanarak dahili geliştirme ve mühendislik ortamlarına uzun vadeli, kalıcı erişim sağladığını açıklamasının ardından 26-01 Acil Durum Direktifini yayınladı.
Yetkililer, saldırganların kimlik bilgilerini çalmak, ağlar arasında yanal olarak hareket etmek ve potansiyel olarak hedeflenen sistemlerin tam kontrolünü ele geçirmek için güvenlik açıklarından yararlanabileceği konusunda uyardı. F5, saldırıyı ilk olarak ağustos ayında keşfettiğini ancak tam olarak ne zaman başladığını açıklamadığını söyledi.
CISA'nın siber güvenlikten sorumlu yönetici yardımcısı Nick Anderson, Çarşamba günü düzenlediği basın toplantısında “Bu direktif yakın bir riske yöneliktir” dedi. “Bir ulus devlet aktörü, yerleşik kimlik bilgilerine ve API anahtarlarına yetkisiz erişim elde etmek için bu kusurlardan yararlanabilir. Bu, federal ağlar için kabul edilemez bir risktir.”
F5, merkezi Seattle, Washington'da bulunan halka açık bir Amerikan teknoloji şirketidir.
Adalet Bakanlığı ihlal duyurusunu erteledi
Çarşamba günü erken saatlerde F5, ihlali Menkul Kıymetler ve Borsa Komisyonu'na sunduğu bir dosyada açıkladı.
SEC 8-K raporunda F5, Adalet Bakanlığı'nın 12 Eylül'de “kamuya açıklamanın gecikmesinin gerekli olduğuna karar verdiğini” söyledi. Bu, bir şirketin SEC'in siber güvenlik ifşa kuralları kapsamında DOJ müdahalesini kamuya açık bir şekilde kabul ettiği ilk seferlerden biri.
Kurallar Temmuz 2023'te kabul edildi ve şirketlerin siber güvenlik olaylarını, önemli bir olayın meydana geldiğinin belirlenmesinden sonraki dört iş günü içinde raporlamasını gerektiriyor.
Adalet Bakanlığı sözcüsü, Haberler'e yaptığı açıklamada, “Madde 1.05(c) uyarınca, Bakanlık, Madde 1.05'in gerektirdiği bir ifşanın ulusal güvenlik veya kamu güvenliği açısından önemli bir risk oluşturacağını tespit ettikten sonra gecikme kararı verebilir” dedi.
F5 CEO'su François Locoh-Donou, şirketin saldırıyı 9 Ağustos'ta öğrendiğini ve siber güvenlik firmalarıyla birlikte soruşturma başlattığını belirten dosyayı imzaladı CrowdStrikeMandiant ve diğerleri, federal kolluk kuvvetlerinin ve isimsiz “hükümet ortaklarının” yardımıyla.
F5, dosyasında şunları yazdı: “Soruşturma sırasında Şirket, tehdit aktörünün BIG-IP ürün geliştirme ortamı ve mühendislik bilgi yönetimi platformu da dahil olmak üzere belirli F5 sistemlerine uzun vadeli, kalıcı erişim sağladığını belirledi.”
CISA acil durum emrinde neler var?
CISA'nın emri, diğerlerinin yanı sıra Adalet Bakanlığı, Dışişleri Bakanlığı, Hazine Bakanlığı ve Federal Ticaret Komisyonu'nun da aralarında bulunduğu federal sivil yürütme organı kurumlarını, uygulama teslimatı ve güvenlik hizmetleri olan F5 BIG-IP ürünlerinin envanterini çıkarmaya yönlendirdi.
Acil durum emrinde, federal kurumların ağlarının halka açık internetten erişilebilir olup olmadığını değerlendirmesi ve F5'in yeni yayınlanan güncellemelerini 22 Ekim'e kadar uygulaması gerekiyor. Ayrıca etkilenen cihazları tanımlayan kapsam belirleme raporlarını 29 Ekim'e kadar tamamlamaları gerekiyor.
Anderson, Haberler'e şu anda federal ağlarda binlerce F5 cihazının kullanıldığını söyledi. Siber güvenlik kurumu, ay sonuna kadar maruziyetin kapsamı hakkında daha fazla bilgi almayı beklediğini söyledi.
CISA Direktör Vekili Madhu Gottumukkala yaptığı açıklamada, ajansın ABD ağlarını savunma misyonunda “kararlı” kaldığını söyledi. devam eden hükümet kapatma ve 2015 Siber Güvenlik Bilgi Paylaşımı Yasası'nın geçerliliğini yitirmesi.
Gottumukkala, “Bu güvenlik açıklarının endişe verici kolaylıkla istismar edilebilmesi, acil ve kararlı eylem gerektirmektedir.” dedi. “Aynı riskler federal sistemlerin ötesine, bu teknolojiyi kullanan tüm kuruluşlara uzanıyor.”
Henüz onaylanmış bir uzlaşma yok, ancak daha geniş bir kampanya sürüyor
Anderson, direktifin potansiyel ihlalleri ortaya çıkarmak için tasarlanmasına rağmen CISA'nın federal kurumlardaki mevcut herhangi bir veri ihlalinden haberdar olmadığını doğruladı. Kampanyanın yalnızca tek bir satıcıyı değil, ABD teknoloji tedarik zincirinin unsurlarını hedef alan daha geniş bir ulus devlet çabasının parçası gibi göründüğünü söyledi.
Anderson, Çarşamba günkü brifing sırasında Haberler'e şunları söyledi: “Buradaki daha geniş amaç, kalıcı erişimdir; istihbarat toplamak, altyapıyı rehin tutmak veya kendilerini gelecekteki saldırılara karşı konumlandırmak.”
CISA, devam eden soruşturmaları gerekçe göstererek saldırının arkasındaki ülkenin adını vermeyi reddetti.
CISA'nın halkla ilişkiler direktörü Marcy McCarthy, “ABD hükümeti şu anda kamuya açık bir açıklama yapmıyor” dedi.
Siber güvenlik uzmanları ve araştırmacılarından oluşan Birim 42'nin tehdit istihbaratı başkanı Haberler'e yaptığı açıklamada, Palo Alto AğlarıF5 BIG-IP kaynak kodunun çalınmasının “önemli olduğunu, çünkü güvenlik açıklarının hızlı bir şekilde istismar edilmesini potansiyel olarak kolaylaştırdığını” söyledi.
Birim 42 Baş Teknoloji Sorumlusu Michael Sikorski, “Genel olarak, bir saldırgan kaynak kodunu çalarsa, yararlanılabilir sorunları bulmak zaman alır” dedi. “Bu durumda, F5'in aktif olarak düzeltmeye çalıştığı açıklanmayan güvenlik açıklarına ilişkin bilgileri de çaldılar. Bu, tehdit aktörlerine genel yaması olmayan güvenlik açıklarından yararlanma olanağı sağlayarak, potansiyel olarak istismar yaratma hızını artırıyor.”
Hükümetin kapatılmasına rağmen çalışıyoruz
CISA'daki izinler ve personel azaltımları nedeniyle hükümetin müdahale etme yeteneği konusunda baskı altında kalan Anderson, kurumun karşılaştığı zorlukları kabul etti ancak kurumun operasyonel olmaya devam ettiğini söyledi.
“Riski azaltmak için temel işlevleri sürdürüyoruz ve bunun gibi zamanında rehberlik sağlıyoruz” dedi. “Bu, CISA için temel görev çalışmasıdır; tam olarak yapmamız gereken şey.”
Anderson ayrıca, federal-özel sektör siber bilgi paylaşımını sona ermeden önce düzenleyen bir yasa olan 2015 Siber Güvenlik Bilgi Paylaşımı Yasası'nın geçerliliğini yitirmesinin, F5 ile koordinasyonu geciktirmediğini veya kurumun tepkisini etkilemediğini söyledi.
Yönerge yalnızca federal kurumlar için geçerli olsa da CISA, F5 teknolojilerini kullanan eyalet, yerel ve özel sektör kuruluşlarını aynı yama ve etki azaltma adımlarını takip etmeye güçlü bir şekilde çağırıyor. BIG-IP hattı da dahil olmak üzere F5'in ürünleri, internet trafiğini ve güvenliğini yönetmek için hem kamu hem de ticari ağlarda yaygın olarak kullanılmaktadır.
Bir yanıt yazın