F5 розкрила інцидент кібербезпеки, який компанія пов’язує з державно підтримуваними зловмисниками. Атакувальники тривалий час утримували доступ до окремих сегментів інфраструктури, зокрема до контуру, дотичного до розробки та випуску оновлень для BIG‑IP — платформи керування трафіком і доставки застосунків, якою, за даними F5, користуються 48 із 50 найбільших корпорацій світу. Компанія зафіксувала атаку 9 серпня 2025 року; публічне розкриття відтермінували за погодженням із Мін’юстом США.
Масштаб інциденту та що було викрадено
У поданні до SEC F5 зазначає, що зловмисники викрали низку файлів, включно з фрагментами вихідного коду BIG‑IP і даними про невідомі публічно вразливості, які на момент інциденту ще не були виправлені. Додатково було отримано доступ до мережевого сегмента, який використовується для збирання та розповсюдження оновлень лінійки BIG‑IP.
Що, за заявою F5, не постраждало
Компанія наголошує, що ланцюг постачання ПЗ не скомпрометовано: конвеєри збірки та релізів, вихідні коди й артефакти не модифікувалися. Немає ознак доступу до вихідного коду чи середовищ розробки NGINX, а також до систем F5 Distributed Cloud Services і Silverline. Окремо підкреслюється відсутність доступу до CRM, фінансових систем, iHealth і сервісних платформ підтримки.
Водночас серед викрадених файлів були конфігураційні дані та деталі впроваджень щодо «невеликого відсотка» клієнтів. F5 пообіцяла адресно сповістити постраждалі організації.
Ризики для клієнтів: вихідний код і приватні баги
Факт крадіжки коду сам по собі не дорівнює зламу систем, однак він полегшує реверс‑інжиніринг і пошук нових шляхів експлуатації. Окремий ризик створюють відомості про невідомі публічно вразливості: навіть якщо вони не критичні та не дають віддалене виконання коду (F5 заявляє, що «критичних» RCE серед них не виявлено), проміжок між поінформованістю атакувальника та виходом патча — вікно можливостей для APT‑груп.
Історично державні актори тяжіють до довготривалої присутності і кібершпигунства, включно з викраденням інтелектуальної власності. Резонансні кейси на кшталт компрометації ланцюга постачання SolarWinds або спроби бекдору в XZ Utils демонструють, наскільки цінними для зловмисника є інструменти розробки. У такому контексті швидкість виправлення вразливостей і посилений моніторинг радикально знижують ймовірність успішної експлуатації.
Реакція F5: патчі та технічні орієнтири
Одразу після оприлюднення інциденту F5 випустила оновлення, що закривають 44 вразливості (зокрема ті, відомості про які були викрадені), і закликала клієнтів невідкладно оновити BIG‑IP, F5OS, BIG‑IP Next для Kubernetes, BIG‑IQ і клієнти APM.
Для підвищення видимості подій F5 рекомендує стрімити журнали BIG‑IP до SIEM, налаштувати віддалені syslog‑сервери, а також відстежувати спроби входу від адміністраторів, збої автентифікації, ескалацію привілеїв і зміни конфігурацій із негайними оповіщеннями. Особливу увагу варто приділити подіям iControl/REST, audit‑логам і нетиповим адміністративним сесіям.
Що робити клієнтам F5 зараз
1) Негайно оновитися. Застосуйте останні патчі до всіх інсталяцій BIG‑IP і суміжних продуктів, включно з тестовими, pre‑prod та DR‑середовищами.
2) Посилити контроль доступу. Обмежте мережевий доступ до керівних інтерфейсів BIG‑IP (через VPN або адміністративні jump‑host’и), увімкніть MFA для всіх адміністраторів, виконайте позапланову ротацію ключів, токенів і сервісних облікових записів.
3) Підсилити моніторинг і оповіщення. Інтегруйте події з BIG‑IP у SIEM, створіть правила на аномальні логіни, часті помилки автентифікації, раптові зміни політик чи профілів. Перевірте журнал змін за допомогою конфігураційних дифів.
4) Оцінити експозицію конфігурацій. Якщо ви отримали повідомлення від F5, проведіть прицільний аудит ACL, секретів, профілів SSL/TLS, повторно випустіть сертифікати та змініть компрометовані облікові дані.
5) Провести цільовий threat hunting. Шукайте несанкціоновані адмін‑сесії, нетипові виклики iControl/REST, рідкісні комбінації команд і зміни політик доступу, зіставляйте події з мережевими телеметріями.
Інцидент із F5 підкреслює стратегічний фокус APT на середовищах розробки та вихідних кодах як важелях впливу на екосистеми клієнтів. Попри відсутність ознак втручання в ланцюг постачання та заяву про брак «критичних» невідомих RCE, найкраща відповідь — оперативні оновлення, жорсткий контроль доступу і постійний моніторинг. Організаціям варто використати момент для ревізії процесів керування вразливостями, сегментації адміністративних зон, перевірки підписів/цілісності оновлень і готовності до реагування. Так ви мінімізуєте риз
