F5 раскрыла инцидент кибербезопасности, связанный с «государственно‑поддерживаемыми» злоумышленниками. По данным компании, атакующие длительное время сохраняли доступ к отдельным сегментам инфраструктуры, затронув системный контур, связанный с разработкой и выпуском обновлений для BIG‑IP — платформы доставки приложений и управления трафиком, используемой, по информации F5, 48 из 50 крупнейших корпораций мира. Обнаружение атаки датировано 9 августа 2025 года; по согласованию с Минюстом США раскрытие было отложено.
Что украли и какие системы затронуты
В подаче в Комиссию по ценным бумагам и биржам США (SEC) F5 сообщает о хищении ряда файлов, включая части исходного кода BIG‑IP и данных о нераскрытых уязвимостях, обнаруженных приватно и еще не исправленных на момент инцидента. Также атакующие получили доступ к сетевому сегменту, который F5 использует для создания и распространения обновлений для линейки BIG‑IP.
Что, по данным F5, не пострадало
Компания подчеркивает отсутствие свидетельств компрометации цепочки поставок ПО: конвейеры сборки и релизов, исходные коды и артефакты не модифицировались. Нет признаков доступа к исходному коду или средам разработки NGINX, а также к системам F5 Distributed Cloud Services и Silverline. Кроме того, хакеры не получили данных из CRM, финансовых систем, iHealth и систем поддержки.
При этом часть похищенных файлов содержала конфигурационные данные и сведения об имплементациях «небольшого процента» клиентов. F5 заявила, что уведомит затронутые организации напрямую.
Оценка рисков: исходный код и приватные баги
Кража исходного кода сама по себе не равна компрометации, однако повышает вероятность обратной разработки и поиска новых путей эксплуатации. Дополнительный риск создают сведения о приватных уязвимостях: даже если они не классифицированы как критические и не позволяют удаленное выполнение кода (F5 указывает, что критических нераскрытых RCE не выявлено), окно между знанием о баге и его исправлением — благодатное поле для APT‑групп.
Отраслевые отчеты указывают, что такие акторы часто нацелены на долгосрочный доступ и шпионаж, включая кражу интеллектуальной собственности. На этом фоне важна оперативность: сокращение времени до патча и усиленный мониторинг значительно уменьшают вероятность успешной эксплуатации.
Ответ F5: патчи и технические рекомендации
После публикации инцидента F5 выпустила обновления, закрывающие 44 уязвимости (включая те, сведения о которых были похищены), и настоятельно рекомендовала клиентам незамедлительно обновить BIG‑IP, F5OS, BIG‑IP Next для Kubernetes, BIG‑IQ и клиенты APM.
Компания предложила базовые меры усиления видимости и реагирования: включить потоковую передачу событий BIG‑IP в SIEM, настроить удаленные syslog‑серверы, а также мониторить попытки входа администраторов, неудачные аутентификации и изменения привилегий/конфигурации для оперативных оповещений.
Что делать клиентам F5 прямо сейчас
1) Немедленно обновиться. Примените опубликованные патчи ко всем затронутым продуктам. Убедитесь, что обновления установлены не только в продакшн‑средах, но и на стендах тестирования и DR.
2) Ужесточить контроль доступа. Ограничьте доступ к управляющим интерфейсам BIG‑IP по сети (VPN/админ‑Jumphost), включите MFA для администраторов, проведите внеплановую ротацию ключей и токенов.
3) Усилить мониторинг. Интегрируйте события BIG‑IP с SIEM, задайте оповещения на аномальные входы, частые ошибки аутентификации, внезапные изменения конфигурации и политик. Проведите разбор недавних изменений через конфигурационные диффы.
4) Оценить экспозицию конфигураций. Если ваша организация получила уведомление от F5, выполните прицельную проверку сетевых ACL, секретов, профилей SSL/TLS, ре‑выдачу сертификатов и обновление учетных данных.
5) Провести threat hunting. Ищите следы несанкционированных админ‑сессий, необычную активность iControl/REST, а также редкие комбинации команд и изменений политик на BIG‑IP.
Инцидент с F5 демонстрирует типичный вектор интереса продвинутых угроз: доступ к исходным кодам и разработческим средам дает противнику информационное преимущество. На текущий момент у компании нет свидетельств вмешательства в цепочку поставок или наличия нераскрытых критических RCE‑уязвимостей, однако оперативное обновление и расширенный мониторинг остаются ключевыми мерами снижения риска. Организациям стоит использовать инцидент как повод для ревизии процессов управления уязвимостями, сегментации админ‑доступа и готовности к реагированию.
