Zarejestruj się na Inna Sieć!
Masz już konto? Zaloguj się

📬 ISN 209: Incydent F5, 500% Wzrost Skanowania Palo Alto: Czy MCP to Koszmar Bezpieczeństwa?

209 numer newslettera analizuje ostatni incydent F5, 500% wzrost skanowania Palo Alto, lokalną platformę do nauki automatyzacji i bibliotekę do Cisco. Zastanowimy się też, czy MCP to nowy koszmar bezpieczeństwa.
Rafał Rudewicz
6 min czytania
📬 ISN 209: Incydent F5, 500% Wzrost Skanowania Palo Alto: Czy MCP to Koszmar Bezpieczeństwa?

Incydent Bezpieczeństwa F5

myF5

W sierpniu 2025 roku firma F5 wykryła nieautoryzowany dostęp do swoich systemach. Nie była to typowa próba włamania czy szybka eksfiltracja danych. Cyberprzestępcy utrzymywali długoterminowy, trwały dostęp do kluczowych systemów F5, w tym środowiska deweloperskiego BIG-IP oraz platform zarządzania wiedzą inżynieryjną.

Skala tego incydentu jest poważna. Atakujący pobrali pliki zawierające fragmenty kodu źródłowego BIG-IP oraz informacje o nieujawnionych wcześniej lukach bezpieczeństwa, nad którymi pracowali zespoły F5.

Szczegółowa analiza dostępnych logów i artefaktów forensycznych pozwoliła F5 na określenie zakresu naruszenia. Uzyskano dostęp do środowiska deweloperskiego BIG-IP i platform zarządzania wiedzą inżynieryjną. Z tych systemów pobrano pliki zawierające kod źródłowy oraz dokumentację dotyczącą niezałatanych podatności.

Co szczególnie niepokojące, niektóre z pobranych plików zawierały informacje konfiguracyjne i implementacyjne dotyczące niewielkiego odsetka klientów F5. Firma obecnie analizuje te pliki i będzie kontaktować się bezpośrednio z dotkniętymi podmiotami.

Jednak nie wszystko jest stracone. F5 nie znalazło dowodów na modyfikację łańcucha dostaw oprogramowania. Ani kod źródłowy, ani pipeline'y budowania i wydawania produktów nie zostały zmienione. To kluczowa informacja potwierdzona przez niezależne audyty prowadzone przez NCC Group i IOActive.

Równie ważne jest zrozumienie, czego atakujący nie uzyskali. Brak dowodów na dostęp do systemów CRM, finansowych, zarządzania zgłoszeniami wsparcia czy iHealth. NGINX pozostaje nienaruszony - ani kod źródłowy, ani środowisko deweloperskie nie zostały skompromitowane. Podobnie systemy F5 Distributed Cloud Services i Silverline pozostają bezpieczne.

F5 nie posiada wiedzy o nieujawnionych krytycznych podatnościach ani lukach umożliwiających zdalne wykonanie kodu. Co więcej, firma nie zaobserwowała aktywnej eksploatacji jakichkolwiek nieujawnionych podatności.

F5 wypuściło aktualizacje dla BIG-IP, F5OS, BIG-IP Next dla Kubernetes, BIG-IQ oraz klientów APM. Szczegóły znajdują się w Quarterly Security Notification z października 2025 roku. Pomimo braku potwierdzonych krytycznych luk, aktualizacja powinna być traktowana priorytetowo.

Oprócz aktualizacji oprogramowania, wdrożenie dodatkowych warstw bezpieczeństwa jest niezbędne. F5 udostępnia przewodnik threat hunting, który wzmocni możliwości detekcji i monitorowania w waszym środowisku. Ten dokument jest dostępny przez portal wsparcia F5 i zawiera konkretne wskaźniki kompromitacji oraz wzorce zachowań do monitorowania.

Narzędzie diagnostyczne F5 iHealth zostało zaktualizowane o automatyczne kontrole hardeningu. Uruchomienie tej funkcji ujawni luki w konfiguracji, ustali priorytety działań i dostarczy linki do zaleceń naprawczych. To pierwszy krok do systematycznego wzmocnienia bezpieczeństwa waszej infrastruktury.

Włączenie strumieniowania zdarzeń BIG-IP do waszego SIEM nie jest już opcją - to konieczność. F5 dostarcza instrukcje krok po kroku dla konfiguracji syslog oraz monitorowania prób logowania. Dokumenty KB13080 i KB13426 zawierają szczegółowe procedury implementacji.

500% wzrostu skanowania Palo Alto

Scanning Activity on Palo Alto Networks Portals Jump 500% in One Day
GreyNoise detects 500% spike in Palo Alto login scans, linking it to recent Cisco ASA exploit trends.
The Hacker NewsThe Hacker News

Trzeciego października GreyNoise zaobserwował 500% wzrost aktywności skanowania portali logowania Palo Alto Networks – najwyższy poziom w ciągu ostatnich trzech miesięcy.

W szczycie aktywności uczestniczyło 1300 unikalnych adresów IP (wzrost z typowych 200), z czego 93% sklasyfikowano jako suspicious, a 7% jako malicious. Większość ruchu pochodzi z USA, ale istotne clustery wykryto w Holandii, UK i Kanadzie. Co niepokojące – skanowanie ma charakterystykę "targeted and structured", nie jest to przypadkowy noise.

Update z 7 października pokazuje eskalację: już ponad 2200 unikalnych IP, gwałtowny wzrost liczby zaangażowanych ASN-ów i wzorzec iteracji przez duże zestawy credentials. To sugeruje koordynowaną kampanię, możliwe że wieloma threat actors.

W kwietniu GreyNoise zaraportował podobne skanowanie portali PAN-OS GlobalProtect. W sierpniu kolejny spike – tym razem Cisco ASA. Kilka tygodni później Cisco ujawniło dwa zero-day (CVE-2025-20333, CVE-2025-20362), już aktywnie eksploatowane do wdrażania malware. Ponad 45 000 instancji Cisco wciąż jest podatnych.

GreyNoise w raporcie z lipca ostrzegał: Następstwem takich wzrostów skanowań jest zwykle ujawnienie CVE w ciągu sześciu tygodni. Obecna sytuacja z Palo Alto Networks pasuje dokładnie do tego wzorca. Dodatkowo – kampanie przeciwko Cisco, Palo Alto i Fortinet SSL VPN pokazują wspólny TCP fingerprints i wykorzystują te same subnety (AS200373, AS11878), co sugeruje, że za ataki stoją Ci sami cyberprzestępcy.

Palo Alto Networks zapewnia, że nie znaleziono evidence of compromise i że ich Cortex XSIAM blokuje 1.5M ataków dziennie. To dobra wiadomość, ale nie powód do bezczynności. Wzorzec historyczny jest jasny: intensywne skanowanie → ujawnienie CVE → exploitacja w czasie rzeczywistym.

Konkretne działania:

  1. Monitoring logów już dziś – szukaj nietypowych prób logowania z nowych IP, szczególnie z Holandii/USA
  2. Review konfiguracji MFA – upewnij się, że wszystkie portale GlobalProtect mają wymuszone MFA
  3. Inwentaryzacja zewnętrznych interfejsów – zweryfikuj, które portale logowania są udostępnienie publicznie i czy jest to konieczne
  4. Przygotuj procedurę awaryjnego patching-u – gdy CVE się pojawi (jeśli), reakcja musi być w godzinach, nie dniach

Lokalna platforma do nauki automatyzacji

GitHub - Nielszy/dev-cliip: Development Cloud Infrastructure Intelligence Platform
Development Cloud Infrastructure Intelligence Platform - Nielszy/dev-cliip
GitHubNielszy

dev-cliip to lokalna platforma deweloperska (Development Cloud Infrastructure Intelligence Platform) replikująca narzędzia z produkcyjnych środowisk sieciowych: NetBox, Prometheus (z eksporterkami), Grafana, gNMIc, Sealed Secrets, Containerlab i K8s (minikube na VM). Służy do nauki NetDevOps, testowania automatyzacji sieci, tworzenia laboratorium sieciowego w kontenerach oraz eksperymentów z monitoringiem i obserwowalnością — wszystko lokalnie i za darmo.

Biblioteka do obsługi Cisco

GitHub - wingmendk/wingpy
Contribute to wingmendk/wingpy development by creating an account on GitHub.
GitHubwingmendk

Wingpy to elegancka i prosta biblioteka Python do obsługi API Cisco. Ułatwia pracę z różnymi platformami Cisco, ukrywając złożoności związane z uwierzytelnianiem, utrzymaniem sesji, ograniczeniami zapytań, budowaniem ścieżek, paginacją i współbieżnością — dzięki temu od razu możesz zacząć wywoływać końcówki API. W dokumentacji znajdziesz liczne przykłady i przewodnik użytkownika.

Czy MCP to koszmar bezpieczeństwa?

Świetnie! Udało ci się pomyślnie zarejestrować.
Witaj z powrotem! Zalogowałeś się pomyślnie.
Pomyślnie subskrybowałeś Inna Sieć.
Twój link wygasł.
Sukces! Sprawdź swoją skrzynkę e-mailową, aby uzyskać magiczny link do logowania.
Sukces! Twoje informacje rozliczeniowe zostały zaktualizowane.
Twoje informacje rozliczeniowe nie zostały zaktualizowane.