美国应用安全厂商F5公司近日证实遭遇国家级黑客组织长期入侵。攻击者窃取了部分BIG-IP产品源代码及客户配置数据,这一事件引发了对供应链安全隐患的广泛担忧。

企业技术供应商F5在周三的声明中指出,受政府支持的黑客侵入了公司系统,突破了其生产环境与工程资源平台的防护。
F5作为应用安全和数据传输产品供应商,在官方声明中将攻击者描述为"高度复杂的国家级威胁行为者"。该组织通过入侵其"工程知识管理平台"及旗舰产品BIG-IP的开发平台,窃取了公司的技术文件。
F5表示被盗文件"包含部分BIG-IP源代码以及我们正在处理的BIG-IP未公开漏洞相关信息"。公司补充说明,据其了解这些漏洞均不存在严重缺陷,也未涉及远程代码执行功能。F5同时强调,目前尚未发现"任何未公开的F5漏洞遭到主动利用"。
从知识管理平台窃取的部分文件涉及"少量客户"的产品配置方案,黑客可能利用这些信息策划针对企业的精准攻击。
F5披露黑客"长期、持续"访问其系统,公司于八月份发现此次入侵,但未透露攻击起始时间。F5发言人拒绝就本次事件的具体细节作出回应。
美国网络安全与基础设施安全局发布紧急指令
美国政府正紧急排查黑客是否通过入侵联邦机构的F5产品,进而对政府系统发动连锁攻击。CISA周三下令要求各联邦机构立即识别所有受影响设备,将特定产品的管理界面从公共互联网隔离,并全面应用F5发布的安全更新。各机构需在10月22日前完成大部分受影响产品的修补,并在10月31日前完成剩余产品的修复工作。CISA同时要求各机构切断已停用设备的网络连接,但为保障关键业务需求的情况除外。
CISA负责网络安全的执行副局长Nick Andersen在周三的简报会上告诉记者,该局尚未确认有任何联邦机构因本次事件遭受侵害。但他拒绝透露入侵F5公司的国家级威胁行为者的具体身份。
此次事件令人立即联想到俄罗斯主导的SolarWinds供应链攻击。在那次事件中,克宫特工渗透了这家IT软件供应商,并篡改了其产品代码。通过利用F5产品中的安全漏洞,攻击者可能绕过被入侵组织的网络防御,建立持久访问权限,并窃取包括密码和API密钥在内的敏感数据。
F5明确表示,目前没有证据表明"我们的软件供应链,包括源代码以及构建和发布流程遭到篡改"。公司表示两次独立审计结果均证实了这一结论。
尽管如此,Andersen指出F5的政府及企业客户可能面临的"下游影响"仍然令人担忧。
"这是影响我们供应链的更广泛战略活动的一部分。"他向记者如此表示。
Andersen透露,联邦政府内部部署着数千台F5产品设备。CISA在周三上午已向其他联邦机构通报了紧急指令,并计划在当晚向州和地方政府进行通报。他表示CISA正与负责监管关键基础设施部门的机构合作,共同向这些行业的成员发出安全警告。
CISA正在协调应对F5入侵事件,同时该局也因持续的政府停摆而面临裁员、强制调岗和休假等问题。Andersen强调,政府停摆以及近期一项关键信息共享法律的到期并未影响CISA处理本次事件的能力。
"受影响人员不包括处理此次事件的核心团队。"Andersen向记者明确表示。
