La società di sicurezza informatica F5 ha subito un cyber attacco che apparentemente ha provocato il furto di pezzi di codice sorgente e di altri dati sensibili.

Secondo Sandro Sana, Ethical Hacker e membro del comitato scientifico Cyber 4.0, “il caso F5 è la prova che anche chi produce sicurezza può diventare un rischio per la sicurezza stessa“.

“Unit 42 sta monitorando la comunicazione di F5 relativa ad accessi persistenti a lungo termine da parte di attori statali”, commenta Michael Sikorski, CTO e Head of Threat Intelligence di Unit 42 di Palo Alto Networks.

Ecco perché questo caso è una bomba ad orologeria e come mitigare il rischio.

Cyber attacco, cosa è successo alla società F5

L’attacco informatico contro F5 non è stato indolore, secondo le analisi di Palo Alto Networks.

“Il furto del codice sorgente di BIG-IP e di vulnerabilità precedentemente non divulgate da parte di un attore statale è significativo, in quanto potenzialmente facilita un rapido sfruttamento delle vulnerabilità”, continua Michael Sikorski.

“Quando a finire sotto attacco è un vendor come F5, non parliamo solo di un incidente informatico, ma di una frattura nella catena di fiducia dell’intero ecosistema digitale“, mette in guardia Sandro Sana.

Il caso F5 è un monito per tutti: la supply chain è sempre fragile

In genere, se un attore malevolo riesce a trafugare il codice sorgente, occorre tempo per scoprire vulnerabilità da sfruttare.

In questo caso, il furto riguarda anche informazioni su falle non divulgate che F5 stava attivamente cercando di risolvere.

Il furto di vulnerabilità non ancora divulgate permette agli attaccanti di effettuare lo sfruttamento anche di cyber minacce ancora prive di patch pubblica. Potenzialmente si accelera la possibilità di creare exploit.

In questo trimestre sono state divulgate 45 falle rispetto alle 6 del trimestre precedente.

“Il furto del codice sorgente e di vulnerabilità non ancora corrette è una bomba a orologeria: offre agli attaccanti un vantaggio strategico enorme e trasforma in potenziali backdoor strumenti che dovrebbero proteggerci”, mette in guardia Sandro Sana.

Ciò fa immaginare che F5 stia cercando di agire il più velocemente possibile per sanare attivamente queste vulnerabilità rubate per anticipare i cyber criminali nello sfruttamento delle stesse.

“F5 sta correndo ai ripari, ma il messaggio è chiaro: la supply chain non è mai sicura per definizione“, avverte Sandro Sana.

Come mitigare i rischi cyber

In questo caso, F5 è stata pronta a divulgare e a rilasciare le linee guida per mitigare i rischi cyber.

“Ogni organizzazione (della supply chain, ndr) che utilizza queste soluzioni deve reagire subito, mitigazioni, patch e threat hunting immediato, ma soprattutto cambiare mentalità“, suggerisce Sandro Sana.

Per ogni organizzazione che sfrutti F5 BIG-IP, ora è prioritaria l’adozione rapida delle linee guida di mitigazione e hardening (processo che punta alla riduzione delle vulnerabilità di un sistema informatico, come server, applicazioni o reti), avviando tempestivamente attività di threat hunting (approccio proattivo alla cyber security in cui gli esperti del settore si impegnano nella ricerca attiva e ripetuta tra reti e risorse per identificare le minacce cyber in grado di eludere le capacità di difesa, rilevamento e risposta esistenti).

Ciò evidenzia il bisogno di una strategia di difesa in profondità per fronteggiare vulnerabilità sconosciute, emergenti e precedentemente identificate.

Tuttavia questo caso è un monito è per tutti. “Non basta più fidarsi dei fornitori di sicurezza“, conclude Sandro Sana: “Bisogna verificarli, monitorarli e prevedere che anche loro possano cadere. Perché il vero rischio oggi non è l’attacco in sé, ma credere di essere al sicuro solo perché si acquistano prodotti di sicurezza”.