16 октября 2025 года американская компания F5 Networks, специализирующаяся на кибербезопасности, сообщила о серьезном инциденте: неизвестная APT-группа проникла в её инфраструктуру и похитила исходный код нескольких компонентов продуктов BIG-IP, а также данные о тогда ещё не раскрытых уязвимостях.
Решения серии BIG-IP широко применяются крупными корпорациями из списка Fortune 500, а также государственными структурами. Взлом был зафиксирован в августе, когда F5 обнаружила, что злоумышленники получили доступ к её среде разработки. При этом такие критически важные системы, как CRM, службы поддержки, финансовые сервисы и iHealth, не были затронуты.
Компания утверждает, что пока не выявлено случаев использования похищенной информации в реальных атаках. Тем не менее, все уязвимости были оперативно устранены — соответствующие патчи уже выпущены.
Для расследования инцидента привлечены сторонние эксперты, включая Mandiant и CrowdStrike. В рамках реагирования F5 провела масштабную работу по повышению безопасности:
Кроме того, в украденных файлах содержались данные о клиентских настройках и конфигурациях, что увеличивает риски. F5 планирует направить персональные уведомления тем клиентам, чьи данные могли быть скомпрометированы, после завершения оценки ущерба.
Компания также выпустила рекомендации для пользователей:
CISA (Агентство кибербезопасности США) потребовало от федеральных учреждений:
По информации Bloomberg, злоумышленники использовали бэкдор BRICKSTORM, связанный с китайской группировкой UNC5221, и могли находиться внутри сети F5 более года.
Решения серии BIG-IP широко применяются крупными корпорациями из списка Fortune 500, а также государственными структурами. Взлом был зафиксирован в августе, когда F5 обнаружила, что злоумышленники получили доступ к её среде разработки. При этом такие критически важные системы, как CRM, службы поддержки, финансовые сервисы и iHealth, не были затронуты.
Компания утверждает, что пока не выявлено случаев использования похищенной информации в реальных атаках. Тем не менее, все уязвимости были оперативно устранены — соответствующие патчи уже выпущены.
Для расследования инцидента привлечены сторонние эксперты, включая Mandiant и CrowdStrike. В рамках реагирования F5 провела масштабную работу по повышению безопасности:
- Сменены все учетные данные, криптографические ключи и сертификаты;
- Усилен мониторинг среды разработки;
- Обновлена архитектура сетевой безопасности.
Кроме того, в украденных файлах содержались данные о клиентских настройках и конфигурациях, что увеличивает риски. F5 планирует направить персональные уведомления тем клиентам, чьи данные могли быть скомпрометированы, после завершения оценки ущерба.
Компания также выпустила рекомендации для пользователей:
- Обновить все продукты: BIG-IP, BIG-IQ, F5OS, BIG-IP Next for Kubernetes и APM;
- Активировать усиленное отслеживание угроз (инструкции доступны через техподдержку);
- Внедрить SIEM-интеграцию для мониторинга событий BIG-IP;
- Использовать iHealth для автоматической диагностики и аудита.
CISA (Агентство кибербезопасности США) потребовало от федеральных учреждений:
- Провести инвентаризацию решений F5;
- Ограничить сетевой доступ к интерфейсам управления;
- До 22 октября установить последние обновления;
- До 29 октября предоставить отчеты о проделанной работе;
- Удалить из публичного доступа устройства F5 с истёкшей поддержкой.
По информации Bloomberg, злоумышленники использовали бэкдор BRICKSTORM, связанный с китайской группировкой UNC5221, и могли находиться внутри сети F5 более года.
