Новости

F5 взломали: украдены исходники BIG-IP и данные об уязвимостях — под угрозой тысячи клиентов

2025-10-20 15:25
16 октября 2025 года американская компания F5 Networks, специализирующаяся на кибербезопасности, сообщила о серьезном инциденте: неизвестная APT-группа проникла в её инфраструктуру и похитила исходный код нескольких компонентов продуктов BIG-IP, а также данные о тогда ещё не раскрытых уязвимостях.

Решения серии BIG-IP широко применяются крупными корпорациями из списка Fortune 500, а также государственными структурами. Взлом был зафиксирован в августе, когда F5 обнаружила, что злоумышленники получили доступ к её среде разработки. При этом такие критически важные системы, как CRM, службы поддержки, финансовые сервисы и iHealth, не были затронуты.

Компания утверждает, что пока не выявлено случаев использования похищенной информации в реальных атаках. Тем не менее, все уязвимости были оперативно устранены — соответствующие патчи уже выпущены.

Для расследования инцидента привлечены сторонние эксперты, включая Mandiant и CrowdStrike. В рамках реагирования F5 провела масштабную работу по повышению безопасности:

  • Сменены все учетные данные, криптографические ключи и сертификаты;
  • Усилен мониторинг среды разработки;
  • Обновлена архитектура сетевой безопасности.

Кроме того, в украденных файлах содержались данные о клиентских настройках и конфигурациях, что увеличивает риски. F5 планирует направить персональные уведомления тем клиентам, чьи данные могли быть скомпрометированы, после завершения оценки ущерба.

Компания также выпустила рекомендации для пользователей:

  • Обновить все продукты: BIG-IP, BIG-IQ, F5OS, BIG-IP Next for Kubernetes и APM;
  • Активировать усиленное отслеживание угроз (инструкции доступны через техподдержку);
  • Внедрить SIEM-интеграцию для мониторинга событий BIG-IP;
  • Использовать iHealth для автоматической диагностики и аудита.

CISA (Агентство кибербезопасности США) потребовало от федеральных учреждений:

  • Провести инвентаризацию решений F5;
  • Ограничить сетевой доступ к интерфейсам управления;
  • До 22 октября установить последние обновления;
  • До 29 октября предоставить отчеты о проделанной работе;
  • Удалить из публичного доступа устройства F5 с истёкшей поддержкой.

По информации Bloomberg, злоумышленники использовали бэкдор BRICKSTORM, связанный с китайской группировкой UNC5221, и могли находиться внутри сети F5 более года.