चीनी हैकर्स का साइबर हमला, F5 नेटवर्क में घुसपैठ का पृष्ठभूमि क्या है? अमेरिका और ब्रिटेन की चेतावनी में छुपे जोखिम

2025年10月21日 01:02

1) क्या हुआ

अमेरिका के सिएटल में स्थित F5 ने 15 अक्टूबर को राष्ट्रीय स्तर के शत्रुतापूर्ण तत्वों द्वारा किए गए उल्लंघन को सार्वजनिक किया। लीक में BIG-IP के कुछ स्रोत कोड और अप्रकाशित भेद्यता जानकारी, साथ ही कुछ ग्राहकों के कॉन्फ़िगरेशन और कार्यान्वयन जानकारी शामिल हैं। आपूर्ति श्रृंखला में छेड़छाड़ का पता नहीं चला है, लेकिन हमलावरों द्वारा "डिज़ाइन ब्लूप्रिंट" प्राप्त करने से ज़ीरो-डे विकास में तेजी आ सकती है, जो सबसे बड़ी चिंता है। The Hacker News

अमेरिकी CISA ने आपातकालीन निर्देश ED-26-01 जारी किया, जिसमें संघीय एजेंसियों को तुरंत इन्वेंटरी, अपडेट और अलगाव का आदेश दिया गया। समय सीमा के साथ सख्त भाषा दर्शाती है कि सरकारी नेटवर्क के "फ्रंटलाइन डिवाइस" पर सीधा असर पड़ा है। CISA

2) समयरेखा (UTC मानक तिथियाँ)

9 अगस्त 2025: F5 ने पहली बार संदिग्ध पहुंच को पहचाना। इसके बाद, बाहरी फोरेंसिक को शामिल किया गया। Rapid7
12 सितंबर 2025: अमेरिकी न्याय विभाग (DoJ) ने SEC के नए नियम के तहत प्रकाशन में देरी की अनुमति दी। यह राष्ट्रीय सुरक्षा कारणों से था। CBS समाचार
15 अक्टूबर 2025: F5 ने Form 8-K और खुलासा दस्तावेज़ प्रस्तुत और प्रकाशित किया। उसी दिन, CISA ने ED-26-01 जारी किया। SEC
अनुपालन की समय सीमा: अधिकांश F5 उत्पादों को 22 अक्टूबर तक, शेष को 31 अक्टूबर तक अपडेट किया जाना चाहिए, 29 अक्टूबर तक रिपोर्ट प्रस्तुत की जानी चाहिए, और 3 दिसंबर तक पूर्ण इन्वेंटरी प्रस्तुत की जानी चाहिए (संघीय एजेंसियों के लिए)। nuharborsecurity.com

3) कितना डेटा लीक हुआ

F5 ने विकास और ज्ञान प्रणाली तक दीर्घकालिक पहुंच और कुछ ग्राहकों के कॉन्फ़िगरेशन डेटा के लीक होने की पुष्टि की। वे निर्माण प्रणाली या वितरित वस्तुओं में छेड़छाड़ की पुष्टि नहीं करते हैं। दूसरी ओर, स्रोत कोड और भेद्यता जानकारी का लीक होना, स्थैतिक और गतिशील विश्लेषण के माध्यम से भेद्यता खोज को हमलावरों के लिए छोड़ देता है, जिससे ज़ीरो-डे की वृद्धि की चिंता बढ़ जाती है। BleepingComputer

रिपोर्टों के आधार पर, 12 महीने से अधिक की घुसपैठ का संकेत मिलता है, और चीन की भागीदारी की अटकलें भी बढ़ रही हैं। हालांकि F5 या CISA ने आधिकारिक तौर पर उत्पत्ति की पहचान नहीं की है। Reuters

4) उद्योग पर प्रभाव—"सोलरविंड्स स्तर" का?

F5 का उपयोग Fortune 500 के अधिकांश और अमेरिकी सरकारी नेटवर्क में किया जाता है, और यह लोड बैलेंसर, WAF, और गेटवे के रूप में "ट्रैफ़िक के चौराहे" का कार्य करता है। चौराहे के डिज़ाइन ब्लूप्रिंट के लीक होने पर, मौजूदा संचालन को ध्यान में रखते हुए सटीक घुसपैठ आसान हो जाती है। विशेषज्ञों ने 2020 के SolarWinds के बराबर जोखिम की चेतावनी दी है। Reuters

5) अमेरिका और ब्रिटेन के अधिकारियों की प्रतिक्रिया

CISA का ED-26-01, संपत्ति की सूची, प्रबंधन इंटरफ़ेस का अलगाव (सार्वजनिक प्रबंधन इंटरफ़ेस का बाहरी उपयोग निषिद्ध), अपडेट लागू करना, और EoL उपकरणों का डिस्कनेक्शन जैसे उपायों को अनिवार्य करता है। ब्रिटेन का NCSC भी F5 नेटवर्क के उल्लंघन की पुष्टि करता है और नवीनतम अपडेट लागू करने की सिफारिश करता है। CISA

6) सोशल मीडिया की प्रतिक्रिया (सारांश)

Tenable CSO Bob Huber ने इसे "five-alarm fire (पांच-स्तरीय चेतावनी वाली आग)" के रूप में वर्णित किया। उन्होंने इसे राष्ट्रीय सुरक्षा के लिए एक गंभीर मामला बताते हुए तत्काल प्रतिक्रिया की मांग की। Tenable®
Zscaler ने CISA के आपातकालीन निर्देश का हवाला देते हुए स्रोत कोड और संवेदनशील डेटा के लीक की गंभीरता पर जोर दिया। X (formerly Twitter)
Censys ने इसे "हथियारकरण का उच्च जोखिम" बताते हुए, कनेक्शन प्रबंधन इंटरफ़ेस का तत्काल अलगाव और अपडेट की सिफारिश की। X (formerly Twitter)
सुरक्षा मीडिया (The Hacker News, SC Media) ने भी समाचार को फैलाया, संघीय निर्देश और BIG-IP स्रोत कोड के लीक को दोहराया। X (formerly Twitter)
निवेश और बाजार जगत (Seeking Alpha की पोस्ट) में भी, $FFIV और सुरक्षा शेयरों के बारे में अटकलें लगाई गईं। X (formerly Twitter)

※उद्धरण संक्षिप्त हैं और प्रत्येक पोस्ट के संदर्भ का सारांश प्रस्तुत करते हैं।

7) पेशेवरों के लिए "तत्काल प्रतिक्रिया" चेकलिस्ट

(A) एक्सपोज़र का अलगाव (आज)

प्रबंधन इंटरफ़ेस (mgmt/GUI/SSH/TMUI) का बाहरी एक्सपोज़र 0 पर लाएं, इसे केवल स्टेजिंग/VPN के माध्यम से सीमित करें।
EoL/EoS उपकरणों को नेटवर्क से अलग करें, और उत्तराधिकारी उपकरणों के लिए योजना बनाएं। CISA

(B) अपडेट और हार्डनिंग (10/22 और 10/31 तक)
3. BIG-IP / F5OS / BIG-IQ / APM क्लाइंट आदि को 10/22 और 10/31 की समय सीमा तक अपडेट करें। कर्नेल, सिग्नेचर, और हमले की शमन सेटिंग्स भी लागू करें। nuharborsecurity.com
4. कुकी/सत्र से संबंधित ज्ञात समस्याओं की शमन सेटिंग्स, और पुराने TMUI एक्सपोज़र की पुनः जांच करें। The Hacker News

(C) पहचान और नियंत्रण (इस सप्ताह)
5. पिछले 12-18 महीनों के लॉग में विकास और प्रबंधन इंटरफ़ेस में असामान्य गतिविधि, अज्ञात IP का दीर्घकालिक निवास, और प्रमाणीकरण टोकन का दुरुपयोग की जांच करें।
6. प्रमाण-पत्र और API कुंजी का रोटेशन (BIG-IP से जुड़े सिस्टम को भी शामिल करें)।
7. सेगमेंटेशन का पुन: डिज़ाइन: LTM/ASM/AFM/Access की भूमिकाओं के अनुसार सीमाओं की पुनः समीक्षा करें।
8. रिपोर्टिंग दायित्व वाली संस्थाएं 10/29 और 12/3 की CISA सबमिशन##

← लेख सूची पर वापस जाएं

cookie_banner_title