Admins müssen nach Datendiebstahl bei F5 schnell reagieren
Staatlich gestützte Cyberkriminelle hatten über längere Zeit Zugang zu Systemen von F5 und konnten dem Security-Anbieter dort wichtige Informationen wie Quellcode, Entwicklerinformationen, Sicherheitslücken und auch Daten von Kundeninstallationen entwenden. Administratoren sollten deshalb umgehend reagieren und die Situation im Auge behalten.
Ein "mit einem Nationalstaat verbundener, hochprofessioneller Angreifer" hat sich unbefugten Zugriff auf Systeme von F5 verschafft und von dort unter anderem den Quellcode für die Anwendungsbereitstellungs- und Sicherheitsprodukte BIG-IP sowie Dateien mit Kundenkonfigurations- oder Implementierungsinformationen entwendet. Damit einhergehend sind den Angreifern wohl auch Informationen über noch offene Sicherheitslücken und mögliche Workarounds und Patches in die Hände gefallen. Aufgrund der akuten Gefährdung warnen die Cybersicherheitsbehörden der USA und Großbritanniens und fordern zum schnellen Handeln auf. Das stellt die Administratoren angesichts der vielfältigen Gefährdungswege und notwendigen Flickarbeiten allerdings vor einige Herausforderungen.
Der in Seattle ansässige Sicherheitsanbieter gab am Mittwoch in einer behördlichen Meldung und einem Beitrag auf seiner Website bekannt, dass die Konfigurations- oder Implementierungsinformationen "nur einen kleinen Prozentsatz der Kunden" beträfen und aus seiner internen Wissensmanagement-Plattform stammten. "Das Unternehmen überprüft derzeit den Inhalt dieser Dateien und wird sich gegebenenfalls direkt mit den betroffenen Kunden in Verbindung setzen", erklärte F5 in einer Meldung an die US-Börsenaufsichtsbehörde SEC.
F5 spielt Risiken herunter
Gleichzeitig räumte der Security-Anbieter ein, dass der Angreifer "langfristigen, dauerhaften Zugriff" auf die BIG-IP-Entwicklungsumgebung und die Wissensmanagementplattform für Ingenieure hatte. Für die betroffenen Kunden könnte es also umso unangenehmer werden, da die Hintermänner die gestohlenen Informationen zur individuellen Konfiguration für maßgeschneiderte Angriffe auf die Firmen verwenden könnten. Ungeachtet solcher Risiken erklärt F5, man gehe davon aus, die Aktivitäten erfolgreich eingedämmt zu haben. Deshalb ist man sich sicher: "Zum Zeitpunkt dieser Bekanntgabe hat dieser Vorfall keine wesentlichen Auswirkungen auf die Geschäftstätigkeit des Unternehmens, und das Unternehmen bewertet derzeit die Auswirkungen, die dieser Vorfall vernünftigerweise auf seine Finanzlage oder seine Geschäftsergebnisse haben könnte."
Eine schwierige Abschätzung, hängt es doch im Wesentlichen vom weiteren Verlauf in den nächsten Tagen und Wochen ab, inwieweit der Vorfall das Vertrauen der Partner und Kunden beeinflusst und finanziell nachhallt. Die Bekanntgabe des Cybervorfalls erfolgte nur wenige Tage vor der Veröffentlichung des Berichts zum vierten Geschäftsquartal von F5, die für den 27. Oktober geplant ist. In der SEC-Meldung wird darauf hingewiesen, dass F5 den unbefugten Zugriff am 9. August entdeckt und am 12. September vom US-Justizministerium gestattet bekommen habe, die öffentliche Bekanntgabe des Vorfalls zu verzögern. Wie lange die Angreifer den Zugriff davor schon hatten, ist bisher nicht bekannt. CRN hat F5 um eine Stellungnahme gebeten.
Abseits der nackten Zahlen dürfte es für F5 nun ungleich schwieriger werden, das von Lisa Citron bei den CRN 2025 Channel Chiefs bekräftigte Ziel einer Steigerung der Kundenzufriedenheit seiner Partner zu erreichen. Es wird nun darauf ankommen, offen und klar zu kommunizieren und die Partner und Kunden bestmöglich zu schützen und unterstützen. Bislang funktioniert die transparente Kommunikation allerdings nur bedingt. So verweist F5 darauf, dass keine Informationen zu kritischen Sicherheitslücken abgeflossen seien. Gleichwohl sind die Erkenntnisse über leichte, mittlere und schwere Sicherheitslücken in diesem Fall nicht viel weniger gefährlich, da die Hacker weitere Informationen und teilweise auch Quellcode in der Hand haben, um zielgerichtet Angriffswege suchen und auszunutzen.
F5 BIG-IP-Sicherheitsverletzung
Obwohl in keinem der öffentlichen Beiträge über den Verstoß das Land genannt wird, mit dem der Angreifer in Verbindung stehen soll, verweisen Experten auf eine deutliche Spur in der Vergangenheit: Das Cybersicherheitsberatungsunternehmen Sygnia hatte bereits im Juni 2024 auf eine mit China in Verbindung stehende Hackergruppe namens Velvet Ant hingewiesen. Diese hatte bei einem Cyberangriff auf eine nicht namentlich genannte große Organisation Ende 2023 eine ältere F5 BIG-IP-Appliance ins Visier genommen.
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (Cybersecurity and Infrastructure Security Agency, CISA) veröffentlichte am Mittwoch online ein Bulletin, in dem sie die Behörden der Federal Civilian Executive Branch (FCEB) anwies, BIG-IP-Produkte zu inventarisieren, zu prüfen, ob die vernetzten Verwaltungsschnittstellen über das öffentliche Internet zugänglich sind, und die Produkte zu aktualisieren, um eine Ausnutzung durch "einen mit einem Nationalstaat verbundenen Cyber-Angreifer" zu vermeiden, der die Systeme von F5 kompromittiert hat.
"Der Zugriff des Angreifers auf den proprietären Quellcode von F5 könnte diesem einen technischen Vorteil verschaffen, um F5-Geräte und -Software auszunutzen", heißt es im CISA-Bulletin. "Der Zugriff des Angreifers könnte ihm die Möglichkeit geben, statische und dynamische Analysen zur Identifizierung logischer Schwachstellen und Zero-Day-Schwachstellen durchzuführen sowie gezielte Exploits zu entwickeln."
Die CISA ordnete sofortige Notfallmaßnahmen für BIG-IP iSeries, rSeries und alle anderen F5-Hardwarekomponenten an, deren Support ausgelaufen ist. Demnach sind alle betroffenen Lösungen binnen einer Woche zu patchen und weiter zu beobachten, oder vom Netz zu nehmen. Alte F5-Geräte mit ausgelaufenem Support müssen die Behörden umgehend vom Netz nehmen und außer Betrieb setzen. Außerdem wurden Maßnahmen für alle Geräte angeordnet, auf denen BIG-IP (F5OS), BIG-IP (TMOS), Virtual Edition (VE), BIG-IP Next, BIG-IQ, BIG-IP Next for Kubernetes (BNK) und Cloud-Native Network Functions (CNF)-Software ausgeführt wird.
F5: Was Administratoren jetzt tun sollten
F5 empfiehlt Anwendern unter anderem, BIG-IP-Ereignis-Streaming für ihr SIEM-Tool (Security Information and Event Management) zu aktivieren und die BIG-IP-Software so schnell wie möglich zu aktualisieren. Die aktuell dafür schon bereitgestellten Patches schließen allein in BIG-IP mehr als 40 Sicherheitslücken, über 25 davon sind nach CVSS als "schwer" eingestuft. Dazu kommen einige Patches für weitere Sicherheitslücken in anderen Produkten wie dem F5OS.
Nach eigenen Angaben hat F5 seit der Entdeckung des unbefugten Zugriffs unter anderem die Anmeldedaten geändert, die Zugriffskontrollen in allen seinen Systemen verschärft, eine verbesserte Automatisierung der Bestands- und Patch-Verwaltung eingeführt und seine Netzwerksicherheitsarchitektur verbessert.
Laut der Erklärung des Unternehmens vom Mittwoch arbeitet F5 seit der Entdeckung mit CrowdStrike, der Google-Tochter Mandiant, Strafverfolgungsbehörden und Regierungspartnern zusammen. Dabei habe man keine Hinweise darauf gefunden, dass Daten aus seinen CRM-, Finanz-, Support-Case-Management- oder iHealth-Systemen abgezogen wurden. Der Angreifer scheint demnach auch weder auf den NGINX-Quellcode oder dessen Produktentwicklungsumgebung noch auf die F5 Distributed Cloud Services-Systeme oder Silverline-Systeme zugegriffen oder diese verändert zu haben.
Dem Unternehmen zufolge überprüft es weiterhin den Code und testet Produkte mit der NCC Group und IOActive. Es hat die CrowdStrike Falcon Endpoint Detection and Response (EDR)- und Overwatch Threat Hunting-Produkte auf BIG-IP ausgeweitet, um die Transparenz zu erhöhen und die Verteidigung zu stärken. F5 wird BIG-IP-Kunden eine Early-Access-Version der Produkte zur Verfügung stellen und unterstützten Kunden ein kostenloses CrowdStrike Falcon EDR-Abonnement anbieten, wie aus dem Online-Beitrag des Unternehmens zu dem Sicherheitsvorfall hervorgeht.
Etwas widersprüchlich klingen hier allerdings die Aussagen von F5 hinsichtlich einer möglichen Kompromittierung der Software-Supply-Chain. Einerseits wird vermeldet (s.o.), die Untersuchungen mit den zugezogenen Spezialisten wie die NCC Group und IOActive hätten hier keinerlei Hinweise auf eine Gefährdung ergeben. Andererseits hat der Hersteller gleichzeitig die privaten Schlüssel und Zertifikate ausgetauscht. Das ist zunächst vor allem für Administratoren eine wenig erfreuliche Nachricht, da die alten Versionen ihre Nachfolger nun nicht mehr verifizieren können. Somit wird entsprechendes Eingreifen bei Maßnahmen wie Installationen und Updates notwendig, die gerade im Zuge des Vorfalls wichtig sind. Was hier im Einzelnen zu tun ist, um die Schlüssel und Verifizierung wieder auf den aktuellen Stand zu bringen, beschreibt F5 in einer entsprechenden Support-Info. Dass der Anbieter diesen Schritt dennoch unternimmt, deutet zumindest darauf hin, dass auch hier eine Kompromittierung zumindest stattgefunden haben könnte.
Angriff trifft F5 im Umbruch
Den Unterlagen zufolge hatte F5 den Angriff im August nur wenige Tage vor der Bekanntgabe seiner geplanten Veränderungen in der Produktorganisation entdeckt, mit denen mehr als 100 Stellen abgebaut wurden. Laut einem Bericht von Morgan Stanley von Anfang dieses Monats stehen die Partner und Kunden von F5 außerdem vor einer Geräteerneuerungsphase, die sich für die Produkte Viprion und iSeries bis ins nächste Jahr hinziehen dürfte.
Darüber hinaus hat der Anbieter in den vergangenen Monaten eine ganze Reihe von Übernahmen getätigt und zuletzt am 29. September den Kauf von CalypsoAI für 180 Millionen US-Dollar abgeschlossen. In diesem Jahr hat F5 außerdem bereits Fletch und MantisNet übernommen.
Der Angriff auf F5 verdeutlicht einen aktuellen Trend zu Attacken auf große Software- und Security-Anbieter, um daraus Angriffsvektoren und Material für weitere Kampagnen zu gewinnen. Zu den anderen Anbietern, die zuletzt mit Bedrohungsakteuren zu kämpfen hatten und haben, gehören unter anderem Avnet, Oracle, Salesforce und Cisco.
Dieser Artikel entstand mit Material unseres geschätzten US-Kollegen Wade Tyler Millward.
CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden