Alerta de Cibersegurança: Agências Federais em Risco Iminente Após Ataque a Fornecedor de Tecnologia

Vulnerabilidades críticas expõem dados confidenciais. Ataques podem resultar em perda de controle total de sistemas. A CISA emite ordem de emergência.

A Agência de Segurança Cibernética e Infraestrutura (CISA) emitiu uma ordem emergencial abrangente na quarta-feira, instruindo todas as agências federais a corrigirem imediatamente vulnerabilidades críticas em certos dispositivos e softwares da F5, uma fornecedora de tecnologia, após confirmar que um ator cibernético de um estado-nação obteve acesso não autorizado ao código-fonte da F5. A CISA — parte do Departamento de Segurança Interna que gerencia os riscos para a infraestrutura cibernética e física dos EUA — emitiu a Diretiva de Emergência 26-01 após a divulgação da empresa de que um ator de ameaças estrangeiras manteve acesso persistente de longo prazo aos seus ambientes internos de desenvolvimento e engenharia usando o código-fonte. Autoridades alertaram que os invasores poderiam explorar as vulnerabilidades para roubar credenciais, mover-se lateralmente pelas redes e potencialmente assumir o controle total dos sistemas visados. A F5 informou que descobriu o ataque em agosto, mas não revelou exatamente quando ele começou. "Esta diretiva aborda um risco iminente", disse Nick Anderson, Diretor Executivo Assistente de Cibersegurança da CISA, durante uma coletiva de imprensa na quarta-feira. "Um ator de um estado-nação poderia explorar essas falhas para obter acesso não autorizado a credenciais incorporadas e chaves de API. Esse é um risco inaceitável para as redes federais." A F5 é uma empresa de tecnologia americana de capital aberto com sede

em Seattle, Washington. O Departamento de Justiça atrasou o anúncio da violação. Na quarta-feira, a F5 divulgou a violação em um registro na Comissão de Valores Mobiliários. No relatório SEC 8-K, a F5 afirmou que o Departamento de Justiça, em 12 de setembro, "determinou que um atraso na divulgação pública era justificado". Esta é uma das primeiras vezes que uma empresa reconhece publicamente a intervenção do DOJ sob as regras de divulgação de segurança cibernética da SEC. As regras foram adotadas em julho de 2023 e exigem que as empresas relatem incidentes de segurança cibernética em até quatro dias úteis após determinar que um evento material ocorreu. O CEO da F5, François Locoh-Donou, assinou o registro, que dizia que a empresa soube do ataque em 9 de agosto e lançou uma investigação junto com as empresas de segurança cibernética CrowdStrike, Mandiant e outras, com a assistência das autoridades federais e de "parceiros governamentais" não identificados. "Durante o curso de sua investigação, a Empresa determinou que o ator de ameaças manteve acesso persistente de longo prazo a certos sistemas da F5, incluindo o ambiente de desenvolvimento de produtos BIG-IP e a plataforma de gerenciamento de conhecimento de engenharia", escreveu a F5 em seu registro. A CBS News entrou em contato com o Departamento de Justiça para obter qualquer explicação sobre o motivo do atraso na divulgação pública. O que está na ordem de emergência da CISA: A ordem da CISA instruiu as agências do Poder Executivo Civil Federal — que incluem o Departamento de Justiça, Departamento de Estado, Departamento do Tesouro e a Comissão Federal de Comércio, entre outros — a inventariar os produtos F5 BIG-IP, que são serviços de segurança e entrega de aplicativos. As agências federais precisam avaliar se suas redes são acessíveis pela internet pública e aplicar as atualizações recém-lançadas da F5 até 22 de outubro, dizia a ordem de emergência. Elas também devem concluir relatórios de escopo identificando os dispositivos afetados até 29 de outubro. Atualmente, existem milhares de dispositivos F5 em uso nas redes federais, disse Anderson à CBS News. A agência de segurança cibernética disse que espera saber mais sobre o escopo da exposição até o final do mês. A Diretora Interina da CISA, Madhu Gottumukkala, disse em um comunicado que a agência permanece "firme" em sua missão de defender as redes dos EUA, mesmo em meio à paralisação do governo em andamento e ao lapso da Lei de Compartilhamento de Informações de Segurança Cibernética de 2015. "A facilidade alarmante com que essas vulnerabilidades podem ser exploradas exige ação imediata e decisiva", disse Gottumukkala. "Esses mesmos riscos se estendem além dos sistemas federais — a qualquer organização que use essa tecnologia." Nenhuma violação confirmada ainda, mas campanha mais ampla em andamento: Anderson confirmou que a CISA não tem conhecimento de nenhuma violação de dados atual nas agências federais, embora a diretiva seja projetada para descobrir quaisquer possíveis comprometimentos. Ele disse que a campanha parece fazer parte de um esforço mais amplo de um estado-nação, visando elementos da cadeia de suprimentos de tecnologia dos EUA, e não apenas um fornecedor. "O objetivo mais amplo aqui é o acesso persistente — para coletar informações, manter a infraestrutura como refém ou se posicionar para ataques futuros", disse Anderson à CBS News durante a coletiva de imprensa de quarta-feira. A CISA se recusou a nomear o país por trás do ataque, citando investigações em andamento. "O governo dos EUA não está fazendo uma atribuição pública neste momento", disse Marcy McCarthy, Diretora de Assuntos Públicos da CISA. Trabalhando durante a paralisação do governo. Questionado sobre a capacidade do governo de responder em meio a licenças e reduções de pessoal na CISA, Anderson reconheceu os desafios da agência, mas disse que ela permanece operacional. "Estamos mantendo funções essenciais e fornecendo orientação oportuna como esta para mitigar riscos", disse ele. "Este é o trabalho principal da missão da CISA — exatamente o que devemos estar fazendo." Anderson também disse que o lapso da Lei de Compartilhamento de Informações de Segurança Cibernética de 2015, uma lei que governava o compartilhamento de informações cibernéticas do setor federal-privado antes do pôr do sol, não atrasou a coordenação com a F5 nem impactou a resposta da agência. Embora a diretiva se aplique apenas a agências federais, a CISA está instando fortemente as organizações estaduais, locais e do setor privado que usam tecnologias F5 a seguir as mesmas etapas de correção e mitigação. Os produtos da F5, incluindo sua linha BIG-IP, são amplamente utilizados em redes governamentais e comerciais para gerenciar o tráfego e a segurança da internet.

📝 Sobre este conteúdo Esta matéria foi adaptada e reescrita pela equipe editorial do TudoAquiUSA com base em reportagem publicada em Cbsnews . O texto foi modificado para melhor atender nosso público, mantendo a precisão factual. Veja o artigo original aqui.