Mobile-Menu

Gefahr für IT-Lieferkette Cyberangreifer stehlen Code und Schwachstellen-Infos von F5

Von Melanie Staudacher 3 min Lesedauer

Anbieter zum Thema

Fsas Technologies GmbH
FAST LTA GmbH
FTAPI Software GmbH

Staatliche Cyberkriminelle haben Quellcode und Informationen über Schwach­stellen des Netzwerkausrüsters F5 gestohlen. Die CISA warnt vor Angriffen auf die Software-Lieferkette und fordert Behörden auf, alle F5-BIG-IP-Produkte umgehend zu patchen.

Cyberangreifer haben bei F5 Informationen über ungepatchte Schwachstellen gestohlen. Dies könnte zu gezielten Exploits und Angriffen auf die gesamte Software-Lieferkette führen.(Bild: Dall-E / KI-generiert)
Cyberangreifer haben bei F5 Informationen über ungepatchte Schwachstellen gestohlen. Dies könnte zu gezielten Exploits und Angriffen auf die gesamte Software-Lieferkette führen.
(Bild: Dall-E / KI-generiert)

F5 hat einen enormen Sicherheitsvorfall bestätigt. Dabei haben Cyberkriminelle Softwarecode des Herstellers sowie Informationen über ungepatchte Sicherheitslücken gestohlen. Der Her­steller habe bereits im August diesen Jahres davon erfahren, dass ein staatlicher Akteur sich dauerhaften Zugriff auf bestimmte interne Systeme verschaffen konnte. Daraufhin ver­öf­fent­li­ch­te F5 vorsorglich zahlreiche Updates für BIG-IP, F5OS, BIG-IP Next für Kubernetes, BIG-IQ und APM-Clients.

CISA warnt vor staatlichem Akteur

Eigenen Untersuchungen zufolge konnte ein Cyberangreifer aus der BIG-IP-Produkt­ent­wick­lungs­um­ge­bung und den Engineering-Wissensdatenbanken von F5 Dateien exfiltrieren. Diese Dateien enthielten Teile des Quellcodes von BIG-IP sowie Informationen über nicht offen­ge­leg­te Schwachstellen in der Plattform, an denen F5 noch gearbeitet hat. Einige Dateien aus der Wissensdatenbank von F5 enthielten Konfigurations- und Implementierungs­infor­ma­tio­nen einiger Kunden. F5 ist eigenen Angaben nach derzeit dabei, die betroffenen Kunden zu informieren.

F5 selbst vermutet staatliche Akteuere hinter dem Datendiebstahl. Auch die CISA hat einen Sicherheits­hinweis zu dem Vorfall veröffentlicht, in dem sie auffordert, alle BIG-IP-Produkte von F5 zu patchen. Außerdem informiert die US-Behörde darüber, dass es sich bei dem Akteur um einen „mit einem Staat verbundenen Cyberangreifer“ handelt. Der Zugriff auf den pro­prie­tä­ren Quellcode von F5 könne diesem einen technischen Vorteil verschaffen, um Geräte und Soft­ware von F5 auszunutzen. Der Zugriff könne zudem statische und dynamische Analysen zur Iden­tifizierung logischer Fehler und Zero-Day-Schwachstellen sowie die Entwicklung gezielter Exploits ermöglichen. Da dieser Cyberangreifer eine unmittelbare Bedrohung für die US-Bun­des­netzwerke darstelle, die Geräte und Software von F5 nutzen, gab die CISA diesen bis zum 22. Oktober Zeit, die Updates aufzuspielen. Zudem verlangt die Behörde von US-Bun­des­be­hör­den, die Produkte von F5 im Einsatz haben, eine umfängliche Bestandsaufnahme durchzuführen.

Sicherheitsmaßnahmen

Die Formulierung des Sicherheitshinweises von F5 lässt darauf schließen, dass der Hersteller weiterhin daran arbeitet, den Angreifer aus seinen Systemen zu entfernen. Dass es bereits aktive Angriffe über eine dieser Sicherheitslücken gibt, ist jedoch nicht bekannt. Außerdem gebe es bisher keine Hinweise auf Zugriffe auf Daten aus den CRM-, Finanz- oder Support-Systemen von F5. Auch Änderungen an der Software-Lieferkette, einschließlich des Quellcodes und der Build- und Release-Pipeline seien bisher nicht bekannt. Dies habe F5 durch un­ab­häng­ige Prüfungen der Cybersicherheitsforschungsunternehmen NCC und IOActive bestätigen lassen. Der Angreifer habe dem aktuellen Wissensstand nach auch nicht auf den Quellcode von NGINX – ursprünglich ein Open-Source-Projekt, das F5 im Jahr 2019 über­nommen hat – oder die Produktentwicklungsumgebung zugegriffen oder verändert. Zudem seien auch die Distri­buted Cloud Services und Silverline-Systeme bisher nicht von Angriffen betroffen.

Im Eilverfahren hat F5 Updates für BIG-IP, F5OS, BIG-IP Next für Kubernetes, BIG-IQ und APM-Clients veröffentlicht. F5-Kunden sollten diese schnellstmöglich aufspielen, um sich vor An­grif­fen auf ihre Systeme zu schützen. Der Hersteller verweist zudem auf seine vierteljährlich erscheinenden Security Notifications. Über den Support können Kunden zudem einen Leitfaden zur Bedrohungssuche sowie zur Verbesserung der Erkennung und Überwachung der eigenen Umgebung erhalten. Als weiteres Werkzeug gibt der Hersteller seinen Kunden Best Practices für die Härtung ihrer Systeme sowie das iHealth Diagnostic Tool an die Hand. Mit Letzterem können Unternehmen Sicherheitslücken aufdecken und eigene Maßnahmen besser priorisieren.

Darüber hinaus empfiehlt F5, das BIG-IP-Event-Streaming für interne SIEM-Systeme (Security Information and Event Management) zu aktivieren. Für die Syslog-Konfiguration und die Überwachung von Anmeldeversuchen bietet der Hersteller Schritt-für-Schritt-Anleitungen.

(ID:50596050)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte