Федеральные кибервласти в среду выпустили чрезвычайную директиву, требующую от федеральных агентств выявлять и применять обновления безопасности к устройствам F5 после того, как поставщик решений для кибербезопасности заявил, что злоумышленник национального масштаба имел долгосрочный постоянный доступ к его системам.
Приказ, обязывающий федеральные органы гражданской исполнительной власти принять меры до 22 октября, стал второй чрезвычайной директивой, выпущенной Агентством по кибербезопасности и безопасности инфраструктуры за три недели. Агентство CISA выпустило обе чрезвычайные директивы спустя несколько месяцев после того, как пострадавшие поставщики впервые узнали об атаках на свои внутренние системы или продукты.
F5 сообщила, что впервые узнала о несанкционированном доступе к своим системам 9 августа, что привело к краже данных, включая фрагменты исходного кода BIG-IP и информацию об уязвимостях, которые компания в то время устраняла внутри компании. Агентство по безопасности и информационной безопасности (CISA) отказалось сообщить, когда F5 впервые сообщила агентству о взломе.
По словам представителей CISA, в настоящее время им неизвестно о каких-либо скомпрометированных федеральных агентствах, однако, как и в случае с чрезвычайной директивой, изданной после серии атак с использованием уязвимостей нулевого дня, затрагивающих межсетевые экраны Cisco , они ожидают, что меры реагирования и смягчения последствий позволят лучше понять масштабы любой потенциальной компрометации федеральных сетей.
Пострадать могут многие федеральные агентства и частные организации. По данным CISA, в органах исполнительной власти используются тысячи типов продуктов F5.
Ник Андерсен, помощник директора по кибербезопасности CISA, заявил в ходе пресс-конференции, что эти атаки на популярных поставщиков и их клиентов являются частью более широкой кампании, нацеленной на ключевые элементы цепочки поставок технологий в Америке и потенциально распространяющей нисходящий эффект на федеральные агентства, поставщиков критически важной инфраструктуры и государственных чиновников.
Агентство CISA отказалось назвать страну или конкретные группы угроз, стоящие за атакой на системы F5. Как правило, целью злоумышленников, представляющих государственные структуры, является сохранение постоянного доступа к сети жертвы для удержания этих систем в заложниках, организации будущих атак или сбора конфиденциальной информации, сообщил Андерсен.
Приказ CISA обязывает федеральные агентства применить исправления безопасности F5, выпущенные в ответ на атаку, отключить неподдерживаемые устройства или службы и предоставить CISA отчет, включающий подробный перечень всех экземпляров продуктов F5, подпадающих под действие директивы.
Чиновники переадресовали вопросы об эффективности исправлений безопасности F5 поставщику и отказались провести независимую проверку того, исправили ли обновления программного обеспечения уязвимости, информацию о которых злоумышленники получили во время взлома.
Ни CISA, ни F5 не объяснили, как злоумышленники получили доступ к внутренним системам F5.
Чиновники неоднократно заявляли, что приостановка работы правительства и многочисленные волны сокращений персонала CISA не оказали негативного влияния и не затормозили способность правительства координировать действия с партнёрами, реагировать на эту угрозу и выпускать чрезвычайную директиву. Андерсен отказался сообщить, сколько сотрудников CISA были уволены в рамках распоряжений о сокращении штата с момента приостановки работы федерального правительства две недели назад.
«Это действительно часть работы по возвращению CISA в строй», — сказал Андерсен.
«Хотя, да, это, возможно, уже третья чрезвычайная директива, изданная с начала правления администрации Трампа, это основная оперативная задача CISA», — сказал Андерсен. «Именно этим мы и должны заниматься, и мы можем продолжать выполнять эту задачу в сотрудничестве с нашими партнёрами прямо сейчас».
Приказ, обязывающий федеральные органы гражданской исполнительной власти принять меры до 22 октября, стал второй чрезвычайной директивой, выпущенной Агентством по кибербезопасности и безопасности инфраструктуры за три недели. Агентство CISA выпустило обе чрезвычайные директивы спустя несколько месяцев после того, как пострадавшие поставщики впервые узнали об атаках на свои внутренние системы или продукты.
F5 сообщила, что впервые узнала о несанкционированном доступе к своим системам 9 августа, что привело к краже данных, включая фрагменты исходного кода BIG-IP и информацию об уязвимостях, которые компания в то время устраняла внутри компании. Агентство по безопасности и информационной безопасности (CISA) отказалось сообщить, когда F5 впервые сообщила агентству о взломе.
По словам представителей CISA, в настоящее время им неизвестно о каких-либо скомпрометированных федеральных агентствах, однако, как и в случае с чрезвычайной директивой, изданной после серии атак с использованием уязвимостей нулевого дня, затрагивающих межсетевые экраны Cisco , они ожидают, что меры реагирования и смягчения последствий позволят лучше понять масштабы любой потенциальной компрометации федеральных сетей.
Пострадать могут многие федеральные агентства и частные организации. По данным CISA, в органах исполнительной власти используются тысячи типов продуктов F5.
Ник Андерсен, помощник директора по кибербезопасности CISA, заявил в ходе пресс-конференции, что эти атаки на популярных поставщиков и их клиентов являются частью более широкой кампании, нацеленной на ключевые элементы цепочки поставок технологий в Америке и потенциально распространяющей нисходящий эффект на федеральные агентства, поставщиков критически важной инфраструктуры и государственных чиновников.
Агентство CISA отказалось назвать страну или конкретные группы угроз, стоящие за атакой на системы F5. Как правило, целью злоумышленников, представляющих государственные структуры, является сохранение постоянного доступа к сети жертвы для удержания этих систем в заложниках, организации будущих атак или сбора конфиденциальной информации, сообщил Андерсен.
Приказ CISA обязывает федеральные агентства применить исправления безопасности F5, выпущенные в ответ на атаку, отключить неподдерживаемые устройства или службы и предоставить CISA отчет, включающий подробный перечень всех экземпляров продуктов F5, подпадающих под действие директивы.
Чиновники переадресовали вопросы об эффективности исправлений безопасности F5 поставщику и отказались провести независимую проверку того, исправили ли обновления программного обеспечения уязвимости, информацию о которых злоумышленники получили во время взлома.
Ни CISA, ни F5 не объяснили, как злоумышленники получили доступ к внутренним системам F5.
Чиновники неоднократно заявляли, что приостановка работы правительства и многочисленные волны сокращений персонала CISA не оказали негативного влияния и не затормозили способность правительства координировать действия с партнёрами, реагировать на эту угрозу и выпускать чрезвычайную директиву. Андерсен отказался сообщить, сколько сотрудников CISA были уволены в рамках распоряжений о сокращении штата с момента приостановки работы федерального правительства две недели назад.
«Это действительно часть работы по возвращению CISA в строй», — сказал Андерсен.
«Хотя, да, это, возможно, уже третья чрезвычайная директива, изданная с начала правления администрации Трампа, это основная оперативная задача CISA», — сказал Андерсен. «Именно этим мы и должны заниматься, и мы можем продолжать выполнять эту задачу в сотрудничестве с нашими партнёрами прямо сейчас».
