269.000 dispositivos y un año de infiltración: cómo una empresa del Fortune 500 fue víctima de una operación invisible
UNC5291 accedió a los activos más valiosos y convirtió las medidas de protección en un arma contra sus propietarios.
En internet se han detectado 269.000 dispositivos F5 BIG-IP abiertos al acceso remoto, a pesar de la reciente declaración de la compañía sobre la compromisión masiva de su infraestructura. El hallazgo lo realizó la organización sin fines de lucro Shadowserver, que se dedica al monitoreo de la seguridad de redes. Según sus datos, casi 143.000 instancias vulnerables se encuentran en EE. UU., el resto en Europa y Asia. El grado de su protección frente a ataques potenciales sigue siendo desconocido.
La empresa F5 confirmó oficialmente que fue víctima de una operación de hackers con indicios de coordinación estatal. Durante la intrusión, los atacantes obtuvieron acceso al código fuente y a vulnerabilidades no divulgadas de los productos de la serie BIG-IP. Aunque hasta ahora no se han reportado casos de explotación de esas vulnerabilidades en ataques reales, la compañía ya ha lanzado un conjunto de actualizaciones para 44 componentes problemáticos, incluidos los que figuraron en la compromisión.
Se recomendó encarecidamente a los usuarios actualizar de inmediato el firmware de BIG-IP, F5OS, BIG-IP Next para Kubernetes, BIG-IQ y de los clientes APM. Al mismo tiempo, en notificaciones privadas dirigidas a clientes, F5 vinculó lo ocurrido con el grupo chino UNC5291, aunque públicamente esa versión no se había hecho pública.
Además, la empresa difundió una instrucción para el análisis de rastros de intrusión en la que figura el malware Brickstorm. Este backdoor escrito en Go fue observado en 2024 por Google durante la investigación de ciberataques realizados por UNC5291. Según información interna de F5, los atacantes pudieron permanecer en la infraestructura de la compañía al menos un año.
El grupo UNC5291 había sido observado anteriormente en ataques que empleaban vulnerabilidades de día cero en productos de Ivanti dirigidos a organismos estatales. En el arsenal de los atacantes había malware propio, incluidos ejemplares Zipline y Spawnant.
Ante la divulgación, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió una directiva de emergencia para agencias federales. Deben instalar actualizaciones en los productos F5OS, BIG-IP TMOS, BIG-IQ y BNK/CNF antes del 22 de octubre. Para las demás soluciones de F5, el plazo se amplió hasta el 31 de octubre.
También se ordenó desconectar y retirar de servicio los dispositivos que hayan alcanzado el fin de su soporte, ya que dejaron de recibir actualizaciones y pueden comprometerse con facilidad. CISA exigió realizar un inventario de todos los dispositivos F5 en la infraestructura, evaluar la accesibilidad de sus interfaces de gestión desde internet y aplicar las actualizaciones vigentes.
En los últimos años, las vulnerabilidades de BIG-IP han sido objetivo reiterado de ataques tanto de ciberdelincuentes como de grupos vinculados a estados. Con ellas, los atacantes accedieron a servidores internos, robaron datos confidenciales, implantaron componentes espía, borraron información y se afianzaron en la infraestructura. En caso de comprometer un dispositivo F5 BIG-IP, los atacantes podrían revelar contraseñas, claves de API y permitir movimientos laterales dentro de la red de la víctima.
La empresa F5 forma parte de la lista Fortune 500 y atiende a más de 23.000 clientes en todo el mundo, incluidas 48 de las 50 corporaciones más grandes de EE. UU.
¿Estás cansado de que Internet sepa todo sobre ti?