एक राष्ट्र-राज्य साइबर अभिनेता द्वारा F5 के स्रोत कोड तक अनधिकृत पहुंच प्राप्त करने की पुष्टि के बाद, साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी ने बुधवार को एक व्यापक आपातकालीन आदेश जारी कर सभी संघीय एजेंसियों को F5, एक प्रौद्योगिकी विक्रेता द्वारा बनाए गए कुछ उपकरणों और सॉफ़्टवेयर में महत्वपूर्ण कमजोरियों को तुरंत ठीक करने का निर्देश दिया।
सीआईएसए – होमलैंड सिक्योरिटी विभाग का एक हिस्सा जो अमेरिका के साइबर और भौतिक बुनियादी ढांचे के लिए जोखिमों का प्रबंधन करता है – ने कंपनी के खुलासे के बाद आपातकालीन निर्देश 26-01 जारी किया कि एक विदेशी खतरा अभिनेता ने स्रोत कोड का उपयोग करके अपने आंतरिक विकास और इंजीनियरिंग वातावरण तक दीर्घकालिक, लगातार पहुंच बनाए रखी थी।
अधिकारियों ने चेतावनी दी कि हमलावर कमजोरियों का फायदा उठाकर क्रेडेंशियल चुरा सकते हैं, नेटवर्क के माध्यम से आगे बढ़ सकते हैं और संभावित रूप से लक्षित सिस्टम पर पूरा नियंत्रण ले सकते हैं। F5 ने कहा कि उन्हें पहली बार हमले का पता अगस्त में चला, लेकिन उन्होंने यह नहीं बताया कि यह कब शुरू हुआ।
बुधवार को एक समाचार ब्रीफिंग के दौरान सीआईएसए के साइबर सुरक्षा के कार्यकारी सहायक निदेशक निक एंडरसन ने कहा, “यह निर्देश एक आसन्न जोखिम को संबोधित करता है।” “एक राष्ट्र-राज्य अभिनेता एम्बेडेड क्रेडेंशियल्स और एपीआई कुंजियों तक अनधिकृत पहुंच प्राप्त करने के लिए इन खामियों का फायदा उठा सकता है। यह संघीय नेटवर्क के लिए एक अस्वीकार्य जोखिम है।”
F5 एक सार्वजनिक रूप से कारोबार करने वाली अमेरिकी प्रौद्योगिकी कंपनी है जिसका मुख्यालय सिएटल, वाशिंगटन में है।
न्याय विभाग ने उल्लंघन की घोषणा में देरी की
इससे पहले बुधवार को, F5 ने सिक्योरिटीज एंड एक्सचेंज कमीशन के साथ फाइलिंग में उल्लंघन का खुलासा किया था।
एसईसी 8-के रिपोर्ट में, एफ5 ने कहा कि न्याय विभाग ने 12 सितंबर को “निर्धारित किया कि सार्वजनिक प्रकटीकरण में देरी जरूरी थी।” यह पहली बार है जब किसी कंपनी ने एसईसी के साइबर सुरक्षा प्रकटीकरण नियमों के तहत डीओजे हस्तक्षेप को सार्वजनिक रूप से स्वीकार किया है।
नियमों को जुलाई 2023 में अपनाया गया था और कंपनियों को यह निर्धारित करने के चार व्यावसायिक दिनों के भीतर साइबर सुरक्षा घटनाओं की रिपोर्ट करने की आवश्यकता थी कि कोई महत्वपूर्ण घटना हुई है।
F5 के सीईओ फ्रांकोइस लोको-डोनोउ ने फाइलिंग पर हस्ताक्षर किए, जिसमें कहा गया कि कंपनी को 9 अगस्त को हमले के बारे में पता चला और उसने साइबर सुरक्षा फर्मों के साथ एक जांच शुरू की। क्राउडस्ट्राइकमैंडिएंट, और अन्य, संघीय कानून प्रवर्तन और अनाम “सरकारी भागीदारों” की सहायता से।
F5 ने अपनी फाइलिंग में लिखा, “अपनी जांच के दौरान, कंपनी ने निर्धारित किया कि धमकी देने वाले ने BIG-IP उत्पाद विकास वातावरण और इंजीनियरिंग ज्ञान प्रबंधन मंच सहित कुछ F5 प्रणालियों तक दीर्घकालिक, लगातार पहुंच बनाए रखी है।”
सीबीएस न्यूज़ ने सार्वजनिक खुलासे में देरी क्यों हुई, इस पर स्पष्टीकरण के लिए न्याय विभाग से संपर्क किया है।
सीआईएसए आपातकालीन आदेश में क्या है?
सीआईएसए के आदेश ने संघीय नागरिक कार्यकारी शाखा एजेंसियों को निर्देश दिया – जिसमें न्याय विभाग, राज्य विभाग, ट्रेजरी विभाग और संघीय व्यापार आयोग शामिल हैं – एफ5 बिग-आईपी उत्पादों की सूची बनाने के लिए, जो एप्लिकेशन डिलीवरी और सुरक्षा सेवाएं हैं।
आपातकालीन आदेश में कहा गया है कि संघीय एजेंसियों को यह मूल्यांकन करने की आवश्यकता है कि क्या उनके नेटवर्क सार्वजनिक इंटरनेट से पहुंच योग्य हैं, और 22 अक्टूबर तक F5 से नए जारी किए गए अपडेट लागू करें। उन्हें 29 अक्टूबर तक प्रभावित उपकरणों की पहचान करने वाली स्कोपिंग रिपोर्ट भी पूरी करनी होगी।
एंडरसन ने सीबीएस न्यूज़ को बताया कि वर्तमान में संघीय नेटवर्क में हजारों F5 डिवाइस उपयोग में हैं। साइबर सुरक्षा एजेंसी ने कहा कि उसे महीने के अंत तक जोखिम के दायरे के बारे में और अधिक जानकारी मिलने की उम्मीद है।
सीआईएसए के कार्यवाहक निदेशक मधु गोट्टुमुक्काला ने एक बयान में कहा कि एजेंसी अमेरिकी नेटवर्क की रक्षा के अपने मिशन में “दृढ़” बनी हुई है, यहां तक कि संकट के बीच भी चल रहा सरकारी शटडाउन और साइबर सुरक्षा सूचना साझाकरण अधिनियम 2015 की समाप्ति।
गोट्टुमुक्काला ने कहा, “जिस खतरनाक आसानी से इन कमजोरियों का फायदा उठाया जा सकता है, वह तत्काल और निर्णायक कार्रवाई की मांग करती है।” “ये समान जोखिम संघीय प्रणालियों से परे – इस तकनीक का उपयोग करने वाले किसी भी संगठन तक फैले हुए हैं।”
अभी तक किसी समझौते की पुष्टि नहीं हुई है, लेकिन व्यापक अभियान चल रहा है
एंडरसन ने पुष्टि की कि सीआईएसए को संघीय एजेंसियों के भीतर किसी भी मौजूदा डेटा उल्लंघन की जानकारी नहीं है, हालांकि निर्देश किसी भी संभावित समझौते को उजागर करने के लिए डिज़ाइन किया गया है। उन्होंने कहा कि यह अभियान केवल एक विक्रेता को नहीं, बल्कि अमेरिकी प्रौद्योगिकी आपूर्ति श्रृंखला के तत्वों को लक्षित करने वाले व्यापक राष्ट्र-राज्य प्रयास का हिस्सा प्रतीत होता है।
एंडरसन ने बुधवार की ब्रीफिंग के दौरान सीबीएस न्यूज को बताया, “यहां व्यापक लक्ष्य लगातार पहुंच है – खुफिया जानकारी इकट्ठा करना, बुनियादी ढांचे को बंधक बनाना या भविष्य के हमलों के लिए खुद को तैयार करना।”
सीआईएसए ने चल रही जांच का हवाला देते हुए हमले के पीछे के देश का नाम बताने से इनकार कर दिया।
सीआईएसए के सार्वजनिक मामलों के निदेशक मार्सी मैक्कार्थी ने कहा, “अमेरिकी सरकार इस समय कोई सार्वजनिक आरोप नहीं लगा रही है।”
सरकारी शटडाउन के माध्यम से काम करना
सीआईएसए में छुट्टी और कर्मचारियों की कटौती के बीच प्रतिक्रिया देने की सरकार की क्षमता पर दबाव डालते हुए, एंडरसन ने एजेंसी की चुनौतियों को स्वीकार किया लेकिन कहा कि यह चालू रहेगी।
उन्होंने कहा, “हम आवश्यक कार्यों को जारी रख रहे हैं और जोखिम को कम करने के लिए समय पर मार्गदर्शन प्रदान कर रहे हैं।” “यह सीआईएसए के लिए मुख्य मिशन कार्य है – बिल्कुल वही जो हमें करना चाहिए।”
एंडरसन ने यह भी कहा कि 2015 के साइबर सुरक्षा सूचना साझाकरण अधिनियम की चूक, एक कानून जो सूर्यास्त से पहले संघीय-निजी क्षेत्र की साइबर जानकारी साझा करने को नियंत्रित करता था, ने F5 के साथ समन्वय में देरी नहीं की या एजेंसी की प्रतिक्रिया को प्रभावित नहीं किया।
जबकि निर्देश केवल संघीय एजेंसियों पर लागू होता है, CISA समान पैचिंग और शमन चरणों का पालन करने के लिए F5 प्रौद्योगिकियों का उपयोग करने वाले राज्य, स्थानीय और निजी क्षेत्र के संगठनों से दृढ़ता से आग्रह कर रहा है। F5 के उत्पाद, इसकी BIG-IP लाइन सहित, इंटरनेट ट्रैफ़िक और सुरक्षा को प्रबंधित करने के लिए सरकारी और वाणिज्यिक नेटवर्क दोनों में व्यापक रूप से उपयोग किए जाते हैं।
