Útočníci ukradli zdrojový kód a popisy zraniteľností F5 BIG-IP, aktualizujte ihneď!

Spoločnosť F5 potvrdila, že sa stala obeťou kybernetického útoku, v rámci ktorého sa bližšie nešpecifikovanej štátom sponzorovanej skupine podarilo získať dlhodobý prístup do ich systémov a exfiltrovať citlivé údaje, vrátane zdrojového kódu a konfigurácií časti zákazníkov.

Sumarizácia dostupných informácií:

Útočníci získali zdrojový kód a informácie o nahlásených zraniteľnostiach v produktoch BIG-IP, ktoré ešte neboli opravené ani zverejnené, a taktiež konfiguráciu a implementačné detaily obmedzeného počtu zákazníkov. Podľa dostupných informácií tieto údaje neboli zo strany útočníka zneužité ani zverejnené. Ku kompromitácii dodávateľského reťazca nedošlo, neboli zasiahnuté ani CRM, finančné systémy, zákaznícka podpora, systémy iHealth a systémy asociované s ostatnými produktovými radmi.

F5 sa o incidente dozvedela 9. augusta 2025. Rieši ho v spolupráci s externými špecialistami zo spoločností Mandiant a Crowdstrike. Vykonala rotáciu kryptografického materiálu a prijala dodatočné opatrenia na zabezpečenie systémov. V spolupráci s NCC Group a IOActive bola vykonaná aj analýza rizík a zdrojového kódu.

Podľa portálu Bloomberg systémy F5 kompromitovala čínska štátom sponzorovaná skupina UNC5221 malvérom BrickStorm a zotrvala v sieti vyše 12 mesiacov. Na aktivity tejto skupiny súvisiace so šírením BrickStorm koncom septembra 2025 upozornila GTIG (Google Threat Intelligence Group). Spoločnosť Mandiant sprístupnila skener pre vyhľadávanie známych signatúr indikujúcich prítomnosť BrickStorm v systéme.

F5 v súvislosti s útokom vydala bezpečnostné aktualizácie pre svoje produkty BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ a APM klientov, ktoré opravujú 44 zraniteľností, vrátane tých uniknutých. 27 z nich bolo označených ako vysoko závažné. Konkrétne verzie zraniteľných produktov a odkazy na príslušné aktualizácie môžete nájsť na stránke výrobcu.

Zraniteľné systémy:

• BIG-IP (všetky moduly)
• BIG-IP AFM
• BIG-IP APM, APM with SWG
• BIG-IP ASM
• BIG-IP PEM
• BIG-IP SSL Orchestrator, SSL Orchestrator with SWG
• BIG-IP Advanced WAF/ASM
• BIG-IP Next CNF, Next SPK, Next for Kubernetes
• F5OS-A
• F5OS-C
• F5 Silverline (všetky služby)
• NGINX App Protect WAF

Možné škody:

• Eskalácia privilégií
• Zneprístupnenie služby (DoS)
• Obídenie bezpečnostných prvkov

Odporúčania:

Administrátorom odporúčame bezodkladne:

• aplikovať dodatočné odporúčania F5 súvisiace s:
  • hardeningom zariadení
  • kontrolou integrity pomocou diagnostického nástroja F5 iHealth
  • zavedením detailného logovania a monitoringu
  • threat huntingom a analýzou dostupných logov na identifikáciu pokusov o zneužitie zraniteľností alebo útokov na produkty F5. Použite aj BrickStorm scanner od Mandiant a SIGMA pravidlá od CIRCL.LU.
• vykonať aktualizáciu všetkých identifikovaných produktov na verzie špecifikované výrobcom
• v prípade produktov s ukončenou podporou urýchlene zmigrovať na alternatívne produktys platnou podporou
• limitovať dostupnosť administratívnych rozhraní produktov len z dôveryhodných IP adries

Zdroje:

• https://my.f5.com/manage/s/article/K000154696
• https://my.f5.com/manage/s/article/K000157005
• https://my.f5.com/manage/s/article/K000156572
• https://www.f5.com/support/f5-ihealth
• https://my.f5.com/manage/s/article/K13080
• https://my.f5.com/manage/s/article/K13426
• https://www.cisa.gov/news-events/directives/ed-26-01-mitigate-vulnerabilities-f5-devices
• https://www.sec.gov/Archives/edgar/data/1048695/000104869525000149/ffiv-20251015.htm
• https://www.bloomberg.com/news/articles/2025-10-16/potentially-catastrophic-breach-of-cyber-firm-blamed-on-china
• https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign
• https://github.com/mandiant/brickstorm-scanner
• https://rulezet.org/bundle/detail/5