Ribuan jaringan—banyak di antaranya dioperasikan oleh pemerintah AS dan perusahaan-perusahaan Fortune 500—menghadapi ancaman imminent untuk dibobol oleh grup peretas negara (nation-state), demikian peringatan pemerintah federal pada Rabu. Hal ini disampaikan menyusul terjadinya pelanggaran keamanan pada produsen perangkat lunak utama.
F5, sebuah perusahaan pembuat perangkat lunak jaringan yang berbasis di Seattle, mengungkapkan pelanggaran tersebut pada hari Rabu. F5 menyatakan bahwa grup ancaman "canggih" yang bekerja untuk pemerintah negara tertentu yang tidak disebutkan namanya, telah bersembunyi secara diam-diam dan persisten di dalam jaringannya dalam jangka panjang. Para peneliti keamanan yang pernah menangani insiden serupa di masa lalu menafsirkan pernyataan itu berarti para peretas telah berada di dalam jaringan F5 selama bertahun-tahun.
Belum Pernah Terjadi Sebelumnya
Selama waktu itu, menurut F5, peretas mengambil alih kendali segmen jaringan yang digunakan perusahaan untuk membuat dan mendistribusikan pembaruan untuk BIG-IP, sebuah lini server appliances yang menurut F5 digunakan oleh 48 dari 50 perusahaan teratas di dunia. Pengungkapan pada hari Rabu itu juga menyebutkan bahwa grup ancaman tersebut mengunduh kode sumber proprietary BIG-IP, informasi tentang kerentanan yang telah ditemukan secara privat tetapi belum ditambal. Peretas juga berhasil memperoleh pengaturan konfigurasi yang digunakan beberapa pelanggan di dalam jaringan mereka.
Kendali atas sistem build dan akses ke kode sumber, konfigurasi pelanggan, serta dokumentasi kerentanan yang belum ditambal berpotensi memberi para peretas pengetahuan yang belum pernah ada sebelumnya tentang kelemahan tersebut dan kemampuan untuk mengeksploitasinya dalam serangan supply-chain terhadap ribuan jaringan, banyak di antaranya sangat sensitif. Pencurian konfigurasi pelanggan dan data lainnya lebih lanjut meningkatkan risiko bahwa kredensial sensitif dapat disalahgunakan, ungkap F5 dan para ahli keamanan eksternal.
Pelanggan biasanya menempatkan BIG-IP di ujung terluar jaringan mereka untuk digunakan sebagai load balancer dan firewall, serta untuk memeriksa dan mengenkripsi data yang keluar-masuk jaringan. Mengingat posisi BIG-IP di dalam jaringan dan perannya dalam mengelola lalu lintas untuk web server, kompromi sebelumnya telah memungkinkan musuh memperluas akses mereka ke bagian lain dari jaringan yang terinfeksi.
F5 menyatakan bahwa investigasi oleh dua firma intrusion-response eksternal hingga saat ini belum menemukan bukti adanya serangan supply-chain. Perusahaan melampirkan surat dari firma IOActive dan NCC Group yang menyatakan bahwa analisis terhadap kode sumber dan build pipeline tidak mengungkap tanda-tanda bahwa "aktor ancaman memodifikasi atau memasukkan kerentanan apapun ke dalam item dalam lingkup." Firma-firma itu juga menyatakan mereka tidak mengidentifikasi bukti adanya kerentanan kritis dalam sistem. Para penyelidik, yang juga melibatkan Mandiant dan CrowdStrike, tidak menemukan bukti bahwa data dari CRM, sistem keuangan, manajemen support case, atau sistem kesehatan mereka diakses.
Perusahaan telah merilis pembaruan untuk produk BIG-IP, F5OS, BIG-IQ, dan APM-nya. Penetapan CVE dan detail lainnya dapat dilihat di sini. Dua hari yang lalu, F5 memutar sertifikat penandatanganan BIG-IP, meskipun belum ada konfirmasi langsung bahwa langkah tersebut merupakan respons terhadap pelanggaran ini.