Сканування мережі виявило понад 200 тис. публічно доступних пристроїв F5 BIG-IP, а після виявленого витоку коду й внутрішніх артефактів від виробника експерти попереджають про реальну ймовірність майбутніх критичних компрометацій — компанії повинні негайно інвентаризувати, патчити й ізолювати управлінські інтерфейси.
У результаті масштабного інциденту F5 підтвердила ексфільтрацію файлів зі середовища розробки BIG–IP — включно з частинами вихідного коду та інформацією про незадекларовані вразливості. Невдовзі після розголосу мережеві сервіси Censys і Shadowserver позначили сотні тисяч IP-адрес з експонованими F5-сервісами (TMUI, iControl REST, APM тощо), причому близько 262 тис. таких хостів знаходяться лише в США. F5 вже випустила оновлення для BIG–IP, F5OS, BIG–IP Next for Kubernetes і суміжних компонентів, а CISA видала екстрену директиву для федеральних агентств із вимогою усунути ризики в стислі терміни. Оскільки оприлюднені артефакти можуть допомогти створити нові експлойти, незаплановані або непатчені системи залишаються уразливими до потенційних zero-day атак і ланцюгових компрометацій.
F5 — постачальник критичної інфраструктури для балансування навантаження й захисту трафіку; їхні продукти використовують хмарні провайдери, телеком-оператори та великі підприємства. Постачальницькі ланцюги програмного забезпечення і витоки внутрішньої документації неодноразово ставали початковою точкою для масштабних атак: знання про внутрішню архітектуру й закриті механізми дають нападникам перевагу при написанні експлойтів і обході захисту.
Терміново:
інвентаризуйте всі F5-активи (апарат, VM, хмарні розгортання);
встановіть офіційні оновлення від F5 для BIG-IP, F5OS, BIG-IQ та APM;
обмежте доступ до управлінських інтерфейсів (TMUI, iControl REST, APM) лише з довірених мереж/через VPN;
перевірте конфігурації на ознаки неавторизованих змін;
усуньте публічний доступ до інтерфейсів керування і реалізуйте багатофакторну автентифікацію для адмінів;
впровадьте підвищений моніторинг аномалій і IDS/EDR з огляду на можливі спроби використати опубліковані артефакти; 7) підготуйте план реагування на випадок появи експлойтів, у тому числі контрольний список швидкого ізолювання вразливих вузлів.
