האקרים ניצלו הפגיעות ב-F5 ופרצו לממשל האמריקני

מחלקת הגנת הסייבר במשרד להגנת המולדת של ארה"ב הגיבה ללפחות שתי מתקפות שבוצעו כנגד ארגוני ממשל במדינה, לצד ארגונים במגזר הפרטי. ההאקרים ניצלו פגיעות קריטית במערכות הארגוניות כדי להשתלט על ה-IT של הקורבנות.

הסוכנות לאבטחת סייבר ותשתיות, CISA, הודיעה בסוף השבוע כי האקרים שלא זוהו, סרקו במשך שבועות רשתות של סוכנויות פדרליות, תוך ניצול פגיעות שנתגלתה מוקדם יותר החודש במוצר של F5 Networks.

F5 Networks, הפועלת בעולמות הרישות, אבטחת יישומים ופתרונות ענן, הוציאה בתחילת החודש תיקון אבטחה לפגיעות משמעותית, שניצול שלה עלול להביא ל"סיכון כולל של מלוא המערכות". פלטפורמת ניהול ואבטחת היישומים של החברה, BIG IP, היא ציוד רישות פופולרי ביותר, המשמש כיום במערכות IT ממשלתיות, בקרב ספקיות שירותי אינטרנט ובמרכזי מחשוב ענן. הפגיעות, שתויגה CVE-2020-5902, משפיעה על TMUI – ממשק המשתמש לניהול התעבורה של BIG-IP. זה מאפשר איזון עומסים, תפעול פיירוולים, מגבילי קצב ומערכות עיצוב תנועה באינטרנט. תוקפים המנצלים את החולשה יכולים לבצע פקודות מערכת שרירותיות, ליצור קבצים, למחוק קבצים או להשבית שירותים.

F5

CISA מסרה כי היא עובדת עם ארגונים מכמה מגזרים, כדי לחקור פריצות אפשריות הקשורות לפגיעות, כאשר דבר קיומן של שתי פריצות לממשל הפדרלי – אושר על ידה. "ההאקרים ימשיכו לנצל את הפגיעות", הזהירו אנשי הסוכנות, "אנו מפצירים ודוחקים בחוזקה במשתמשים ובמנהלי מערכת לשדרג את התוכנה שלהם".

כריס קרבס, מנהל הסוכנות לאבטחת סייבר ותשתיות, צייץ מוקדם יותר החודש כי "אם לא תטליא עד היום בבוקר – צא מנקודת הנחה שאתה פגיע ונפגעת".

הפגיעות היא כה חמורה, עד ש"זכתה" לקבל את הציון הגבוה ביותר האפשרי של 10, מ-CVSS, מערכת ניקוד הפגיעויות. פיקוד הסייבר במשרד ההגנה האמריקני הזהיר מוקדם יותר החודש בטוויטר (Twitter) כי הטלאת הטלאי הוא "דחופה" וכי "אין לדחות אותה לסוף השבוע". הסוכנות kאבטחת הרשת במשרד להגנת המולדת הודיעה למנהלים כי עליהם לעדכן את מערכות ה-F5  שלהם ביום העצמאות, ה-4 ביולי.

תגובת F5: "פגיעות (CVE-2020-5902) המשפיעה על מספר גרסאות של BIG-IP, נמצאה וטופלה מיידית על ידי תיקון אבטחה. אנו ממליצים ללקוחות  להתקין את הגרסה המעודכנת ביותר של תוכנת BIG-IP. אם לקוחות לא יכולים לעדכן מיד את ה-BIG-IP שלהם, אנו ממליצים להם להבטיח שאין גישה פתוחה דרך האינטרנט ל-TMUI, להגביל את הגישה ל-TMUI עבור משתמשים מורשים בלבד ולהחיל את המלצות החסימה הנוספות האחרונות המוצעות ב-security advisory שלנו. ניתן למצוא אותו, יחד עם משאבים אחרים ב-F5 Vulnerability Response microsite".