F5 waarschuwt voor diefstal van broncode en niet bekendgemaakte lekken
Aanvallers zijn erin geslaagd om bij F5 broncode en informatie over niet bekendgemaakte kwetsbaarheden te stelen, zo heeft het netwerkbedrijf vandaag bekendgemaakt. Daarnaast zijn er updates voor de BIG-IP software van F5 uitgebracht. In de waarschuwing aan klanten zegt F5 dat het in augustus ontdekte dat een "zeer geraffineerde statelijke actor" langetermijntoegang tot systemen had, en er bestanden van bepaalde F5-systemen zijn gedownload.
Wat de aanvaller geraffineerd maakt en hoe die toegang tot de F5-systemen kon krijgen is niet bekendgemaakt. De getroffen systemen bevatten allerlei informatie over F5-producten. Het gaat onder andere om BIG-IP broncode en informatie over niet bekendgemaakte kwetsbaarheden in BIG-IP. F5 voegt toe dat het niet gaat om nog niet bekendgemaakte kritieke of remote code execution kwetsbaarheden en is het bedrijf niet bekend met actief misbruik van de niet bekendgemaakte F5-beveiligingslekken.
Het BIG-IP-platform van F5 wordt voor verschillende toepassingen gebruikt, zoals load balancing en application delivery. De afgelopen jaren zijn kwetsbaarheden in BIG-IP geregeld het doelwit van aanvallen geweest. F5 stelt dat er geen bewijs is aangetroffen dat de aanvallers aanpassingen aan de software supply chain hebben doorgevoerd, waaronder de broncode en de build en release pipelines. Ook zijn er geen aanwijzingen dat de aanvallers toegang hadden tot de NGINX-broncode en productieomgeving. NGINX is een platform voor het ontwikkelen van apps en api's.
Naar aanleiding van het incident heeft F5 updates voor de BIG-IP software uitgebracht en is er "Threat intelligence" voor klanten beschikbaar. Binnen de eigen organisatie heeft F5 inloggegevens gereset en access controls aangescherpt. Tevens is verbeterde inventory en patch management automation uitgerold en tooling om beter op dreigingen te monitoren. Daarnaast zijn er niet nader genoemde verbeteringen aan de netwerkbeveiligingsarchitectuur doorgevoerd en is de productontwikkelomgeving extra beveiligd.
"Bij succesvol misbruik van de getroffen F5-producten kan een aanvaller toegang tot embedded credentials en Application Programming Interface (API) keys krijgen, zich lateraal door het organisatienetwerk bewegen, data stelen en persistente systeemtoegang krijgen", aldus het Britse National Cyber Security Centre (NCSC), dat een stappenplan voor F5-klanten heeft opgesteld.
Je lijstje met nog te fixen F-ups moet je echt goed bewaken...
Ik maar denken dat NGINX een reverse proxy/load balancer is, die je bijvoorbeeld kunt gebruiken voor ingress beperking en het tegenhouden van actoren voor bekende lekken.
Toch maar naar alternatieven kijken...
Toch maar naar alternatieven kijken...
Ik maar denken dat NGINX een reverse proxy/load balancer is, die je bijvoorbeeld kunt gebruiken voor ingress beperking en het tegenhouden van actoren voor bekende lekken.
Ik maar denken dat NGINX een reverse proxy/load balancer is, die je bijvoorbeeld kunt gebruiken voor ingress beperking en het tegenhouden van actoren voor bekende lekken.
En niet te vergeten open-source, dus ik weet wel zeker dat de aanvallers toegang hadden tot de NGINX brondcode.
https://www.sec.gov/ix?doc=/Archives/edgar/data/1048695/000104869525000149/ffiv-20251015.htm
Terwijl kwaadwillenden diezelfde veiligheidsproblemen mogelijk al gevonden hebben, met of zonder het ontfutselen van closed source broncode.
Wanneer er dan wordt ingebroken bij de klant, is het feitelijk de schuld van de leverancier en niet van de klant dat het kon gebeuren.
Een reden te meer om broncode juist wel open te maken!
Een paar jaar geleden wel maar in onderstaande link kan je zien dat het toch al weer zeker 5 jaar terug was:
https://www.f5.com/company/news/press-releases/f5-acquires-nginx-to-bridge-netops-devops
Ik maar denken dat NGINX een reverse proxy/load balancer is, die je bijvoorbeeld kunt gebruiken voor ingress beperking en het tegenhouden van actoren voor bekende lekken.
Terwijl kwaadwillenden diezelfde veiligheidsproblemen mogelijk al gevonden hebben, met of zonder het ontfutselen van closed source broncode.
Wanneer er dan wordt ingebroken bij de klant, is het feitelijk de schuld van de leverancier en niet van de klant dat het kon gebeuren.
Een reden te meer om broncode juist wel open te maken!
Closed source Load Balancers zijn toch extreem ouderwets, daarom zie je ook zoveel security incidenten met Citrix Netscalers en F5. Iedereen die het een beetje serieus neemt zit al meer dan 10 jaar op een open-source alternatief en de grote cloud providers hebben hun eigen implementaties (ook veelal weer op open-source gebaseerd). Als je ook maar 1x met bijvoorbeeld een loadbalancer als Traefik hebt gewerkt dan weet je hoe extreem dom en ouderwets die F5 dingen zijn.
Een paar jaar geleden wel maar in onderstaande link kan je zien dat het toch al weer zeker 5 jaar terug was:
https://www.f5.com/company/news/press-releases/f5-acquires-nginx-to-bridge-netops-devops
Nee, dan maar liever Cisco of Sonicwall.
Oh nee, daar zijn ook grote lekken in ontdekt.
Toch maar naar alternatieven kijken...
Misschien tijd om de boel dan maar gewoon te open sourcen?
Ow wacht ... ...
Naja, die hebben een boel security fixes uitgebracht voor zero-days en zo, kan niet veel over zijn.
Toch maar naar alternatieven kijken...
Misschien tijd om de boel dan maar gewoon te open sourcen?
Yep OS FTW? Nee ik dacht het niet. OS is leuk maar het vervelende is dat iedereen denk dat iemand anders wel de code controleert en feitelijk doet niemand het!
SAMBA is zo'n voorbeeld. Is OS en dan dit: https://www.akamai.com/blog/security/sambacry-seven-year-old-samba
Wat wel de oplossing is durf en kan ik niet zeggen maar per definitie in het OS domein kwakken helpt niet echt.
--JfL
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?