Siber Güvenlik Devi F5 Hacklendi: Şimdi Ne Olacak?
Arkadaşlar selam, dün akşamdan beri F5’in veri ihlaline dair haberler okuyorum ve çeşitli forumlarda bununla alakalı bilgiler edinmeye çalıştığım için gönderiyi gecikti. Tahmin ettiğiniz üzere F5 hacklenmiş, hem de ne hacklenme! Kaynak kodlarının bir kısmının sızdırıldığına dair ciddi iddialar var, devlet destekli bir ekip tarafından bu işin yapıldığına dair birtakım söylentiler var ve daha bir çok şey. Bildiğimiz tek bir konu var, F5’in hacklendiği.
Olayın özeti şu aslında: Adamlar, F5’in sistemlerine sızıp en popüler ürünleri olan BIG-IP’nin kaynak kodlarını ve daha kimsenin bilmediği, yani yaması henüz çıkmamış güvenlik açıklarını içeren dosyaları çalmışlar. Sonrası malum tabi.
Peki bu ne anlama geliyor? Basitçe anlatayım: Evinizin anahtarını değil, doğrudan anahtarın kalıbını, kilit göbeğini ve kat planını çalmışlar gibi düşünün. Artık o planlara bakıp daha önce kimsenin fark etmediği gizli bir giriş noktası bulabilirler. Hatta yapay zeka destekli zero-day saldırıları da bi süre F5’in peşini bırakmayacak gibi görünüyor. Neden yapay zeka destekli diyorum çünkü kaynak kodlarının bir kısmının dahi çalınmış olması arkadaki algoritmanın kırılması anlamına gelir ve büyük ihtimalle F5’in geliştiricileri uzunca bir süre yeni algoritma bulmaya uğraşacaklar gibi duruyor –ya da hiçbir şey olmamış gibi devam ederler–.
Kaynak kodlarının çalınması, saldırganların F5 ürünlerinde “sıfır gün” (zero-day) olarak bilinen yepyeni zafiyetler keşfetmesinin önünü açıyor. Bu da F5 kullanan binlerce şirket için çok büyük bir risk demek. Özellikle ülkemizde birçok özel ve kamu kurumu altyapısında F5’in çözümlerini kullanıyor.
İşin daha da endişe verici kısmı, F5 bu saldırının arkasında “çok gelişmiş bir ulus-devlet aktörünün” olduğunu söylüyor. Yani bu işi yapanlar, öyle sıradan hackerlar değil; devlet destekli, organize ve kaynakları bol bir grup. Zaten ağda ne kadar kaldıkları da tam belli değil, yani aylarca içeride cirit atmış olabilirler. Bu da şu soruyu sormama sebep oluyor, yıllardır rakiplerini baskılayan, özellikle NetScaler’ı yerden yere vuran paylaşımlarda bulunan, her güvenlik güncellemesinde “Hala NetScaler mı kullanıyorsunuz? Geçmiş olsun ya da bize gelin” gibi gerilla marketing yapan bir üreticinin kendi iç sistemlerindeki denetimsizliği başka bir konu. Neyse Citrix’in Workspace ailesi içerisinde bizzat geliştirici özelinde de mimariler ve güvenlik önlemleri mevcut, isterlerse yardımcı olabilirim.
Beni bilen bilir bu tarz konularda ılımlı yaklaşan biriyimdir ama geçmişte NetScaler özelinde F5’e dair birtakım LinkedIn gönderilerini, isimlerini ve fotoğraflarını gizleyerek aşağıda paylaşmak istiyorum.
Peki F5 Ne Yapıyor?
Tabii ki F5 hemen olaya müdahale etmiş. Google Mandiant ve CrowdStrike gibi sektörün devleriyle anlaşıp temizlik ve analiz çalışmalarına başlamışlar. Kimlik bilgilerini değiştirmişler, erişim kontrollerini sıkılaştırmışlar falan filan… Klasik kriz yönetimi adımları. Etkilenen az sayıdaki müşteriye de bilgi vereceklerini söylüyorlar. Hatta bazı müşterilerin konfiglerinin dahi çalındığına dair söylentiler de yine gündemde.
Bize Düşen Ne?
Eğer F5 ürünleri kullanıyorsanız, şirketin yayınladığı tüm güncellemeleri anında, beklemeden yapmanız hayati önem taşıyor. Bu olay, siber güvenlikte “Benim başıma gelmez” demenin ne kadar anlamsız olduğunu bir kez daha gösterdi. En güvenilir kaleler bile düşebiliyor.
Bugün F5’in başına gelen, yarın bir başkasının başına gelebilir. Sektör olarak hepimizin ders çıkarması gereken, endişe verici bir gelişme.
Güvende kalın!
Not: Resmi olarak yayımlanmış CVE listesini aşağıdaki pdf’de görebilirsiniz.
