F5 dit avoir été compromis par un État-nation

« Nous avons confirmé que l'auteur malveillant a exfiltré des fichiers de notre environnement de développement de produits BIG-IP et de nos plateformes de gestion des connaissances techniques. Ces fichiers contenaient une partie du code source de BIG-IP et des informations sur des vulnérabilités non divulguées sur lesquelles nous travaillions dans BIG-IP ».

C’est le message est à tout le moins alarmant partagé par F5. L’équipementier assure toutefois ne pas avoir connaissance de « vulnérabilité critique ou d’exécution de code à distance non divulguée » ni « d'une exploitation active de vulnérabilités F5 non divulguées ».

Plus loin, F5 indique ne pas disposer de « preuve d'accès ou d'exfiltration de données provenant de [ses] systèmes CRM, financiers, de gestion des cas d'assistance ou iHealth », tout en relevant que « certains des fichiers exfiltrés de [sa] plateforme de gestion des connaissances contenaient des informations de configuration ou de mise en œuvre concernant un petit pourcentage de clients ».

En outre, l’équipementier indique n’avoir « aucune preuve de modification de [sa] chaîne logistique logicielle, y compris [son] code source et [ses] pipelines de compilation et de publication. Cette évaluation a été validée par des examens indépendants réalisés par les cabinets de recherche de premier plan en cybersécurité NCC Group et IOActive ».

Selon F5, l'environnement de développement des produits NGINX et les systèmes F5 Distributed Cloud Services ou Silverline ne seraient pas affectés.

L’équipementier fournit néanmoins des mises à jour pour BIG-IP, F5OS, BIG-IP Next pour Kubernetes, BIG-IQ et clients APM et « recommande fortement » de les appliquer au plus vite. Il fournit également à ses clients un guide de chasse aux menaces.

En France, l’Anssi n’a pas encore commenté sur l’incident à l’heure où sont publiées ces lignes. Le centre national de cybersécurité britannique indique de son côté que « l'exploitation réussie des produits F5 concernés pourrait permettre à un acteur malveillant d'accéder aux identifiants et aux clés des API intégrées, de se déplacer latéralement au sein du réseau d'une organisation, d'exfiltrer des données et d'établir un accès persistant au système ». Tout en précisant ne pas disposer, à ce stade, d’indication de compromission de SI client de F5 à ce stade.

Dans une note au gendarme des boursiers américain, la SEC, F5 indique avoir appris le 9 août la compromission de certains de ses environnements IT par un « acteur hautement sophistiqué lié à un État-nation ».