Ce que vous pouvez retenir de notre incident de sécurité
La semaine dernière, nous avons signalé un incident de sécurité grave lié à un acteur étatique d'une grande sophistication. En tant que RSSI, je comprends l'effet que peut produire une telle annonce venant d’un partenaire. Je mesure combien la situation a pu être difficile et perturbatrice pour vous, et nous vous présentons nos excuses tout en assumant l’entière responsabilité de l’incident.
La semaine dernière, nous avons échangé avec des centaines de clients et avec plusieurs groupes de pairs RSSI. Je vous remercie, ainsi que toute la communauté de la sécurité, pour votre engagement et votre collaboration pendant cette période difficile.
Nous tirons les enseignements de cet incident et vous pouvez compter sur nous pour identifier des points d’amélioration. Voici notre principal constat jusque-là : Nos contrôles étaient solides à certains endroits, moins à d’autres. Nous allons progresser.
Nous avons mobilisé les équipes de toute l’entreprise pour agir rapidement et ensemble afin de rétablir la confiance et d’élever durablement le niveau de sécurité. Nous avons optimisé l’automatisation de la gestion de notre inventaire et de nos correctifs, et renforcé la surveillance pour mieux détecter et réagir aux incidents. Vous bénéficiez désormais de capacités zero trust renforcées à tous les niveaux de notre infrastructure et de nos opérations, et nous collaborons avec CrowdStrike pour offrir une visibilité avancée sur les endpoints de F5 BIG-IP. Nous faisons même tourner CrowdStrike EDR sur nos périphériques BIG-IP en périphérie de notre réseau d’entreprise. Vous pouvez aussi profiter de cette même protection pour vos propres parcs BIG-IP.
Nous travaillons sans relâche pour rétablir la situation et nous vous accompagnons à chaque étape. En menant nos investigations et en identifiant les enseignements à tirer de l’incident, nous partagerons nos analyses pour renforcer l’ensemble de la communauté de la sécurité.
Voici les questions que vos pairs me posent le plus souvent en ce moment, avec nos réponses et recommandations :
À quelles données client l’acteur malveillant a-t-il eu accès ?
Une partie des fichiers exfiltrés depuis notre plateforme de gestion des connaissances renfermait des informations liées à un faible pourcentage de clients. Surtout, nous n’avons constaté aucune preuve d’accès ou d’exfiltration de données issues de nos systèmes CRM, financiers, de gestion des dossiers d’assistance ou de F5 iHealth. Les données clients concernées que nous avons identifiées sont en grande partie des notes internes sur les échanges avec vous, susceptibles d’inclure des informations utiles à la résolution de problèmes, au développement de fonctionnalités ou aux demandes de correction de bugs.
Nous poursuivons notre analyse approfondie de ces fichiers. Même si nous allons vite, nous veillons à vous transmettre des informations fiables. Nous avons déjà informé les clients dont nous avons identifié les données, et nous continuerons à vous tenir directement au courant à mesure que nous avancerons.
Avez-vous constaté une divulgation publique ou sur le Dark Web des informations exfiltrées ?
Vous n’avez constaté aucune diffusion publique ni sur le Dark Web des informations exfiltrées lors de cet incident, et vous n’avez relevé aucun signe d’exploitation active des vulnérabilités concernées.
La CISA a publié une directive d’urgence en réponse à l’incident. Devez-vous vous inquiéter ?
Nous n’avons connaissance d’aucune vulnérabilité critique non divulguée, ni de faille d’exécution de code à distance, ni d’exploitation de celles révélées la semaine dernière. La directive de la CISA appuie fortement notre recommandation : mettez à jour votre logiciel BIG-IP sans délai. Suivez aussi nos bonnes pratiques de configuration : les interfaces de gestion ne doivent jamais être accessibles depuis Internet et doivent rester protégées par une segmentation, une isolation réseau et une liste de contrôle d’accès adaptées.
Les mises à jour de notre notification de sécurité trimestrielle corrigent des vulnérabilités critiques dans les informations consultées par l’acteur malveillant. Vous trouverez des ressources complémentaires pour renforcer et surveiller votre environnement F5 ici. Nous poursuivons notre collaboration étroite avec la CISA et avec vous pour garantir la clarté, la transparence et votre confiance dans nos produits.
Pourquoi n’avez-vous pas informé plus tôt de l’incident ?
Vous comptez sur la rapidité quand il s’agit de communiquer sur des incidents de sécurité : c’est pourquoi nous avons partagé les informations sur l’incident rapidement, de façon responsable, précise et utile. Nous collaborons étroitement avec les autorités et nos partenaires gouvernementaux.
Quel impact l’accès du cybercriminel au code source de BIG-IP peut-il avoir ?
En premier lieu, vous n’avez aucune preuve de modification dans notre chaîne d’approvisionnement logicielle, y compris notre code source ainsi que nos chaînes de compilation et de déploiement. Des cabinets de référence en recherche sur la cybersécurité, NCC Group et IOActive, ont confirmé cette évaluation lors de revues indépendantes. Pour garantir un contrôle constant, nous continuerons à faire appel à eux pour des analyses régulières.
Ensuite, nous vous recommandons de mettre à jour votre BIG-IP dès que possible. Les nouvelles versions ont déjà été téléchargées 24 000 fois, preuve que de nombreux clients s’engagent vers l’utilisation du logiciel actualisé. Nous avons aussi livré plus de 200 versions personnalisées à nos clients.
Dans les prochaines semaines, nous allons également lancer un programme de bug bounty pour renforcer encore la sécurité de vos produits.
Comment pouvez-vous commencer à utiliser CrowdStrike Falcon sur BIG-IP ?
Vous avez désormais accès anticipé à CrowdStrike Falcon Sensor et Overwatch Threat Hunting sur BIG-IP Virtual Edition (VE), et nous prévoyons de les proposer prochainement sur les systèmes matériels BIG-IP. En intégrant directement le Falcon Sensor de CrowdStrike à la plateforme F5 BIG-IP et en vous permettant de bénéficier du service géré de chasse aux menaces CrowdStrike Falcon Adversary OverWatch, nous portons la sécurité adaptative pilotée par IA jusque sur le périmètre du réseau, là où vous faites transiter le trafic applicatif et API le plus stratégique.
F5 vous donne, en tant que client BIG-IP éligible, un accès gratuit jusqu'au 14 octobre 2026 afin que vous puissiez adopter immédiatement la sécurité native IA et la détection avancée des menaces au niveau réseau, sans frais initiaux. Si vous utilisez F5 BIG-IP et souhaitez en savoir plus ou démarrer, rendez-vous ici.
Prévoyez-vous de publier d’autres correctifs ? Pouvons-nous anticiper de nouvelles versions prochainement ?
Nous allons continuer à proposer régulièrement des mises à jour et des correctifs pour BIG-IP. Nous prenons en charge chaque vulnérabilité et nous vous en informons selon notre politique de réponse aux vulnérabilités. À ce jour, après analyse des journaux disponibles, nous n’avons identifié aucune vulnérabilité critique ou distante non divulguée dans le code, et nous ne sommes pas informés de tentatives d’exploitation active de vulnérabilités F5 non divulguées.
Pouvez-vous nous fournir des IOCs ?
Vous pouvez obtenir les IOC sur demande si vous êtes client F5. Ouvrez un dossier auprès du support MyF5, ou contactez directement le support F5 ou votre équipe commerciale pour obtenir les IOC et le guide de recherche de menaces.
CrowdStrike a rédigé le guide de chasse aux menaces, il ne concerne pas exclusivement F5. Vous pouvez vous appuyer sur ce guide pour rechercher l’acteur de la menace dans votre environnement.
Quelles versions de BIG-IP avez-vous corrigées ?
Nous vous recommandons d’installer les versions de BIG-IP récemment mises à jour :
- BIG-IP 17.5.1.3
- BIG-IP 17.1.3
- BIG-IP 16.1.6.1
- BIG-IP 15.1.10.8
Vous trouverez plus d'informations sur ces versions et sur les vulnérabilités que nous avons corrigées dans la notification de sécurité trimestrielle d’octobre.
Que pouvez-vous faire si vous utilisez une version en fin de vie (EOL) que F5 ne supporte plus ?
Nous vous conseillons vivement de mettre à jour toute version EOL de logiciel vers une version actuellement prise en charge par F5, afin de bénéficier des dernières mises à jour et améliorations de sécurité.
Contactez directement le support F5 pour que nous vous aidions à mettre à jour vos systèmes BIG-IP.