F5 安全事件:BIG-IP 源代码被窃取F5 安全事件:BIG-IP 源代码被窃取
F5 Security Incident
请访问原文链接:https://sysin.org/blog/f5-security-incident/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
BIG-IP is a collection of hardware platforms and software solutions providing services focused on security, reliability, and performance (sysin).
F5 安全事件
以下公告由 F5 发布,本站 (sysin) 翻译,格式有所修改。
K000154696:F5 安全事件
发布日期:2025 年 10 月 15 日 更新日期:2025 年 10 月 17 日
我们希望与您分享有关 F5 安全事件处置措施及持续保护客户的相关信息。
2025 年 8 月,我们发现一个高度复杂的国家级威胁行为者在部分 F5 系统中长期保持持久访问,并下载了文件。这些系统包括我们的 BIG-IP 产品开发环境 和 工程知识管理平台。我们已采取广泛措施来遏制该威胁行为者。自这些活动开始以来,我们未发现新的未经授权活动,我们相信遏制措施已取得成功。
针对该事件,我们正在采取主动措施来保护客户,并强化企业与产品环境的安全防护。我们已邀请 CrowdStrike、Mandiant 及其他领先的网络安全专家提供支持,同时积极与执法机构及政府合作伙伴协作。
我们已发布 BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ 和 APM 客户端 的更新。更多信息请参阅 2025 年 10 月季度安全通知。我们强烈建议您尽快更新至这些新版本。
我们已知的情况
截至目前,根据我们对可用日志的调查结果:
- 我们已确认威胁行为者从 BIG-IP 产品开发环境和工程知识管理平台中外传了文件。这些文件包含部分 BIG-IP 源代码 以及我们正在研究的 尚未公开的漏洞信息。
我们目前 没有发现未公开的关键漏洞或远程代码执行漏洞,也 未发现有任何未公开的 F5 漏洞被积极利用。 - 我们 没有证据 表明威胁行为者访问或外传了我们的 CRM、财务、支持工单管理或 iHealth 系统 的数据。
然而,从知识管理平台外传的部分文件中,包含了 少量客户的配置或实施信息。我们正在审查这些文件,并将适时直接联系受影响客户。 - 我们 没有证据 表明软件供应链(包括源代码、构建与发布流水线)被修改。
此评估结果已由知名网络安全研究机构 NCC Group 与 IOActive 的独立审查验证。 - 我们 没有证据 表明威胁行为者访问或修改了 NGINX 源代码 或其开发环境,也 没有证据 显示他们访问或修改了 F5 Distributed Cloud Services 或 Silverline 系统。
您可以采取的措施
我们当前的首要任务是帮助您加强并保护 F5 环境,防范此事件带来的风险。以下是我们提供的支持资源:
-
BIG-IP 软件更新
目前已提供 BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ 及 APM 客户端的更新。
尽管我们没有发现未公开的关键或远程代码执行漏洞,仍强烈建议您尽快更新 BIG-IP 软件。
更多信息请参阅 季度安全通知。 -
威胁情报
可从 F5 支持 获取威胁狩猎指南,以帮助增强环境的检测与监控能力。 -
加固与验证指南
我们发布了 加固最佳实践,并在 F5 iHealth 诊断工具 中新增了自动化加固检查功能。
该工具可识别安全缺口、优先化修复措施,并提供相应的整改指导链接。 -
SIEM 集成与监控指南
我们建议启用 BIG-IP 事件流至 SIEM,并提供配置说明:
- Syslog 配置(KB13080)
- 登录尝试监控(KB13426)
这样可增强对管理员登录、身份验证失败、权限与配置变更的可见性和告警能力。
我们的全球支持团队随时为您提供协助。您可以通过 MyF5 支持案例 或直接联系 F5 支持,获取 BIG-IP 软件更新协助、实施指导或咨询。我们将持续更新此页面,提供最新信息与资源。
我们正在采取的行动
我们已采取并将持续推进重大措施,以修复此次威胁、保护客户安全,并强化企业与产品基础设施的防护。
自启动事件响应以来,我们已:
- 重置凭据并加强系统访问控制。
- 部署改进的资产与补丁管理自动化工具,并增加了威胁监测与响应能力。
- 优化网络安全架构。
- 加固产品开发环境,包括强化开发平台的安全控制与监控。
我们还在采取更多措施,进一步增强产品安全:
- 持续对产品进行代码审查与渗透测试,借助 NCC Group 与 IOActive 的支持,识别并修复潜在漏洞。
- 与 CrowdStrike 合作,将 Falcon EDR 传感器与 Overwatch Threat Hunting 扩展至 BIG-IP,提升可见性与防御能力。
目前,BIG-IP 客户可提前获取早期访问版本,F5 将为支持客户提供 免费 Falcon EDR 订阅服务(有效期至 2026 年 10 月 14 日)。
您的信任对我们至关重要。我们深知信任来自日常的行动,尤其在事件发生时。我们对此次事件及其可能给您带来的风险深表歉意。我们承诺从此次事件中汲取经验,并与更广泛的安全社区分享相关教训。
相关内容
- IOActive 认证信函
- NCC Group 认证信函
解决方案
简单的解决方案就是将 BIG-IP 更新到以下最新版:
- F5 BIG-IP 15.1 (Release 15.1.10.8) - 领先的应用交付与安全服务
- F5 BIG-IP 16.1 LTS (Release 16.1.6.1) - 多云安全和应用交付
- F5 BIG-IP 17.5 LTS (Release 17.5.1.3) - 多云安全和应用交付
提示:旧版本已终止技术支持(EoTS),不在厂商评估范围,大概率同样存在上述安全威胁或者更多风险,
BIG-IP 产品概述
更多介绍请参看:F5 BIG-IP 下载汇总 - 业界领先的应用交付与安全服务
相关产品:F5 产品下载汇总 - 多云安全和应用交付
更多:HTTP 协议与安全