F5 hat einen Sicherheitsvorfall offengelegt, der nach Unternehmensangaben auf staatlich unterstützte Akteure zurückgeht. Die Angreifer hielten über einen längeren Zeitraum Zugriff auf Teile der Infrastruktur, darunter Systeme im Umfeld von Entwicklung und Auslieferung von Updates für BIG‑IP – eine Plattform, die laut F5 von 48 der 50 größten Unternehmen der Welt genutzt wird. Der Angriff wurde am 9. August 2025 entdeckt; die öffentliche Meldung erfolgte verzögert in Abstimmung mit dem US-Justizministerium.
Was entwendet wurde und welche Systeme betroffen sind
In einer SEC‑Meldung führt F5 aus, dass Dateien exfiltriert wurden, darunter Teile des BIG‑IP‑Quellcodes sowie Informationen zu nicht offengelegten Schwachstellen, die zum Zeitpunkt des Vorfalls noch nicht vollständig behoben waren. Zudem verschafften sich die Angreifer Zugang zu einem Netzsegment, das F5 zur Erstellung und Verteilung von Updates der BIG‑IP‑Produktlinie nutzt.
Welche Umgebungen laut F5 unberührt blieben
F5 betont, es gebe keine Hinweise auf eine Beeinträchtigung der Software‑Lieferkette: Build‑ und Release‑Pipelines, Quellcoderepositorien und Artefakte seien nicht manipuliert worden. Es lägen keine Anzeichen für Zugriffe auf NGINX-Quellcode oder Entwicklungsumgebungen vor, ebenso wenig auf F5 Distributed Cloud Services und Silverline. Daten aus CRM‑, Finanz‑, iHealth‑ und Supportsystemen seien nicht abgeflossen.
Ein Teil der entwendeten Dateien enthielt jedoch Konfigurations- und Implementierungsinformationen eines „kleinen Prozentsatzes“ von Kunden. F5 kündigte an, betroffene Organisationen direkt zu informieren.
Risikobewertung: Quellcode-Leak und private Schwachstellen
Der Verlust von Quellcode bedeutet nicht zwangsläufig eine Kompromittierung, erleichtert jedoch Reverse Engineering und die gezielte Suche nach verwertbaren Schwachstellen. Besonders sensibel sind Informationen zu privaten, noch nicht gepatchten Bugs: F5 erklärt, dass keine unbekannten kritischen RCE‑Lücken betroffen seien. Dennoch eröffnet das Zeitfenster zwischen Kenntnisnahme und Patchverteilung APT‑Akteuren Möglichkeiten für diskrete, langfristige Zugriffe und Spionage. Branchenanalysen (u. a. Verizon DBIR, CISA‑Hinweise) zeigen, dass Schwachstellen nach Offenlegung teils innerhalb von Tagen ausgenutzt werden und staatlich gesteuerte Gruppen häufig auf nachrichtendienstliche Ziele fokussieren.
Reaktion von F5: Sicherheitsupdates und operative Maßnahmen
Im Zuge der Offenlegung veröffentlichte F5 Updates, die 44 Schwachstellen schließen – inklusive solcher, zu denen Informationen gestohlen wurden. Kunden sollen umgehend BIG‑IP, F5OS, BIG‑IP Next für Kubernetes, BIG‑IQ und die APM‑Clients aktualisieren.
Zur Erhöhung der Sichtbarkeit empfiehlt F5, BIG‑IP‑Ereignisse in ein SIEM zu streamen, Remote‑Syslog zu aktivieren und Alarme für administrative Logins, fehlgeschlagene Authentifizierungen sowie Privileg- und Konfigurationsänderungen zu konfigurieren. Solche Telemetriedaten verkürzen die Mean Time to Detect und verbessern die Reaktionsfähigkeit bei anomalen Aktivitäten.
Konkrete Maßnahmen für F5‑Kunden
1) Sofort patchen. Sicherheitsupdates auf allen Systemen – Produktion, Test und DR – einspielen und den Erfolg verifizieren. Wartungsfenster priorisieren, Exploit‑Risiko über Business‑Impact stellen.
2) Zugriff härten. Verwaltungsoberflächen von BIG‑IP nur über VPN/Jumphosts erreichbar machen, MFA für Administratoren erzwingen und Schlüssel/Tokens außerplanmäßig rotieren.
3) Monitoring ausweiten. BIG‑IP‑Logs ins SIEM integrieren; Alarme für anomale Logins, Häufungen von Auth‑Fehlern, Policy‑Drift und Konfig‑Diffs einrichten; Notfall‑Playbooks testen.
4) Exponierte Konfigurationen prüfen. Nach F5‑Benachrichtigung gezielt ACLs, Secrets, SSL/TLS‑Profile evaluieren, Zertifikate neu ausstellen und Zugangsdaten ändern.
5) Threat Hunting betreiben. Nach ungewöhnlichen iControl/REST‑Aufrufen, seltenen Admin‑Kommandoabfolgen und verdächtigen Policy‑Änderungen suchen; Zeithorizont vor und nach dem Entdeckungsdatum abdecken. Orientierung bieten CISA‑Empfehlungen zu Logging‑Baselines und MITRE ATT&CK‑Taktiken für APTs.
Der Vorfall unterstreicht, dass Angriffe auf Entwicklungsumgebungen und Quellcode ein strategisches Ziel fortgeschrittener Bedrohungsakteure sind. Auch ohne Anzeichen für eine Supply‑Chain‑Manipulation bleiben schnelles Patchen, gehärtete Admin‑Zugänge und telemetriegestütztes Monitoring die wirksamsten Hebel zur Risikoreduktion. Organisationen sollten den Anlass nutzen, ihr Schwachstellenmanagement, die Segmentierung von Administrationspfaden und die Einsatzbereitschaft der Incident‑Response‑Prozesse kritisch zu überprüfen.
