El proveedor de ciberseguridad F5 sufre ataque con filtrado de código fuente y datos de clientes

La compañía especializada en ciberseguridad F5, que en la actualidad proporciona servicios de protección a la mayoría de las empresas del índice Fortune 500, ha sufrido un ciberataque que ha provocado la filtración de una parte del código fuente de sus productos, así como de datos de sus clientes. En la actualidad, F5 cuenta con alrededor de un millar de clientes de grandes corporaciones y organizaciones gubernamentales.

La compañía ha confirmado, en una comunicación a la SEC, que el 9 de agosto de este año descubrieron que un actor impulsado por un estado-nación ajeno a EEUU había conseguido acceso no autorizado a ciertos sistemas de la empresa. A partir de ese acceso, los ciberatacantes mantuvieron acceso persistente durante cierto tiempo a los sistemas de F5. Entre ellos, al entorno de desarrollo de producto de BIG-IP y a su sistema de gestión del conocimiento de ingeniería.

Al parecer, según Reuters, los atacantes tuvieron acceso a los sistemas de la compañía durante al menos 12 meses. Ciertas fuentes han atribuido el ataque a China, pero desde la agencia aseguran que no han podido obtener confirmación al respecto.

Como consecuencia de este acceso prolongado en el tiempo, los atacantes consiguieron hacerse con una parte del código fuente de la plataforma BIG-IP, así como con información sobre determinadas vulnerabilidades, que F5 no ha concretado. La compañía activó diversos procesos de respuesta al ciberataque en cuanto fue consciente de su existencia, y ha contado con el apoyo de distintos expertos externos en ciberseguridad para mitigarlo.

La contención del ciberataque tuvo éxito, y desde que F5 empezó a desplegar las medidas de contención de la brecha de seguridad sufrida no han detectado más actividad no autorizada en sus sistemas. Además, la investigación llevada a cabo como consecuencia del incidente no ha encontrado evidencias de modificaciones en la cadena de suministro, código fuente o flujos de desarrollo o lanzamiento de la compañía. Estas afirmaciones, realizadas por expertos de la empresa, han sido validadas también por varias empresas de investigación en ciberseguridad independientes.

F5 no ha encontrado pruebas de acceso a los datos del CRM de clientes. Tampoco a sus sistemas financieros, a la gestión del soporte de incidentes o a iHealth. Aparte de esto, tampoco han registrado accesos ni modificaciones en el código fuente de NGINX, el entorno de desarrollo de producto, sus servicios cloud distribuidos o los sistemas Silverline.

A pesar de esto, F5 sí ha confirmado que algunos archivos que los ciberatacantes sacaron de su plataforma de gestión del conocimiento contenían información sobre la configuración de cierto número de sus clientes. La empresa ha asegurado que se trata de un pequeño porcentaje de ellos, y que ya se ha puesto en contacto directo con los afectados.

A pesar de que el ataque se comunicó a la SEC en agosto, han pasado varias semanas hasta que se ha hecho público, debido a que el Departamento de Justicia de Estados Unidos autorizó a la compañía el retraso de su comunicación pública. No se ha confirmado el motivo de este retraso, pero en Estados Unidos las autoridades pueden permitir a las compañías hacerlo en caso de que haya un riesgo notable para la seguridad nacional, que puede darse en este caso, o para la pública.