防火墙不再安全?F5被黑事件揭示其已成为完美的特洛伊木马

文章详细披露了F5 Networks遭受国家级威胁攻击者长期入侵的严重事件。攻击者窃取了BIG-IP产品线的核心源代码和漏洞情报,可能被用于制造新的零日漏洞,攻击全球关键基础设施。事件暴露了供应链攻击和高级持续性威胁的巨大风险,促使美国CISA和英国NCSC发布紧急修补和缓解指令。本文分析了攻击的解剖过程、潜在威胁情景以及企业应汲取的教训。

您的防火墙安全吗?F5被黑事件证明它是完美的特洛伊木马

被描述为今年最具影响力的网络间谍行动之一,美国技术供应商F5 Networks已确认,国家级威胁攻击者成功渗透了其内部环境,窃取了与其旗舰产品BIG-IP产品线相关的源代码和漏洞情报——BIG-IP是全球政府、电信公司和财富500强企业使用的核心网络和应用交付系统。

安全官员担心,被窃取的数据可能使攻击者能够利用F5设备中未公开的缺陷,制造出一波针对关键基础设施的新型零日漏洞利用。

入侵事件:长达一年的渗透

F5披露,该公司在2025年8月意识到了这一事件,当时内部监控在其产品开发和工程知识管理环境中标记了可疑活动。随后的调查显示,一个高度复杂的国家级组织已经维持了至少12个月的持久、未被发现的访问权限。

攻击者窃取了:

  • 多个BIG-IP模块(包括TMOS和F5OS组件)的源代码。
  • 详细记录了正在积极开发中的未修补或未披露漏洞的内部文档。
  • 少量客户的有限配置和实施数据。

尽管该公司没有点名肇事者,但彭博社引用的情报来源已将此次入侵与中国国家支持的行为者联系起来,这与早些时候针对思科、VMware和Fortinet的活动相呼应。

攻击剖析

F5的内部取证分析,在CrowdStrike、Mandiant和NCC Group的支持下,表明这是一次多阶段的入侵,类似于供应链和内部渗透策略的混合体:

  • 初始访问:很可能是通过用于访问F5构建环境的受损开发人员凭据或第三方供应商账户实现的。
  • 持久性和横向移动:攻击者部署了隐蔽的植入程序,在数月内保持对源代码仓库和知识系统的操作控制。
  • 数据窃取:敏感文件被分成小的加密片段窃取,以避免被数据丢失防护(DLP)系统检测。
  • 掩盖痕迹:攻击者使用基于时间的文件操作和日志篡改来模拟合法的开发人员活动。

接近调查的消息人士称,在几台工程服务器上发现了名为“Brickstorm”的自定义后门的痕迹。据报道,该后门通过合法的开发工具建立安全隧道,并设计在营业时间保持休眠以逃避行为分析。

哪些内容被(及未被)泄露

F5确认,此次入侵仅限于BIG-IP及相关开发环境。没有证据表明攻击者访问了:

  • F5的CRM、财务或客户支持系统。
  • NGINX(企业反向代理和Web服务器)。
  • Distributed Cloud Services或Silverline DDoS基础设施。

调查人员没有发现对生产固件或软件更新机制进行篡改的证据——尽管专家警告说“没有证据并不等于没有证据”。

F5 BIG-IP产品线支撑着银行、数据中心、军事网络、互联网服务提供商和政府机构的关键运营。这些系统处理SSL终止、负载均衡和访问管理——这意味着任何泄露都可能赋予对加密流量的深度可见性。

潜在威胁情景:

  • 零日漏洞利用开发:攻击者可以利用窃取的源代码识别新的漏洞。
  • 固件后门植入:窃取的构建知识可能使武器化更新成为可能。
  • 针对性间谍活动:被入侵的BIG-IP实例可用于监控加密流量或进入内部网络。

安全研究人员警告,此次泄露可能导致一类新的“供应链间谍活动”,即对手将供应商的源代码武器化,以在数月甚至数年后攻击该供应商的客户。

遏制与响应

在识别出入侵后,F5立即聘请了顶级网络安全公司:

  • CrowdStrike在其F5基础设施上部署了Falcon EDR传感器。
  • Mandiant进行取证以绘制持久性机制。
  • NCC Group和IOActive对BIG-IP的构建管道和代码库进行了完整性审计。

F5表示,这些审查未发现篡改或新插入的恶意代码的证据。 为了恢复客户信心,F5还:

  • 轮换了所有可能被泄露的签名证书和加密密钥。
  • 为其产品开发环境重新设计了网络分段和访问控制。
  • 宣布将为所有受支持的BIG-IP客户免费提供CrowdStrike Falcon EDR的访问权限,以增强可见性。

政府指令与行业反应

CISA紧急指令 美国网络安全和基础设施安全局(CISA)发布了一项紧急指令,命令所有联邦机构:

  • 识别并清查所有F5设备。
  • 应用新发布的F5更新。
  • 限制对管理界面的外部访问。
  • 停用任何已终止支持的BIG-IP设备。

各机构必须在2025年12月3日之前向CISA报告合规情况。

英国NCSC建议 英国国家网络安全中心(NCSC)确认,虽然没有证据表明存在主动利用,但所有客户都应:

  • 为BIG-IP、BIG-IQ、BIG-IP Next和F5OS系统打补丁。
  • 审查安全强化和监控配置。
  • 按照F5的威胁狩猎指南实施SIEM集成。

企业的教训:

  • 假设供应商已被入侵:即使受信任的网络安全供应商也可能被入侵。
  • 基础设施设备的零信任:BIG-IP和类似系统绝不应暴露不受限制的管理接口。
  • 监控Brickstorm指标:F5的内部威胁狩猎指南包括检测潜在后门的模式。
  • 加速补丁周期:组织必须立即应用F5的最新更新,以便在潜在的零日漏洞被武器化之前将其关闭。

结论

F5被黑事件突显了一个关键的转变:攻击者正瞄准关键基础设施的构建者,而不仅仅是用户。通过渗透产品开发环境,对手获得了前所未有的力量——能够在源头插入漏洞,或者储存漏洞利用情报以供随意使用。

在一个互联的世界里,像BIG-IP这样的设备位于全球企业流量的核心,这一事件可能重新定义安全软件供应链的紧迫性。

关键要点:

  • F5的BIG-IP源代码和漏洞研究被国家级攻击者(疑似中国APT)窃取。
  • 入侵在检测前持续了12个月以上。
  • 环境中发现了Brickstorm后门。
  • 没有证据表明生产固件被篡改——但未来被利用的风险很高。
  • CISA和NCSC已发布紧急修补和缓解指令。

F5 BIG-IP被黑事件不仅仅是一次企业安全失误——它代表了全球互联网信任层的战略性妥协。攻击者现在拥有世界上最广泛部署的网络安全系统之一的内部级别知识。

随着企业争相修补和监控隐藏的持久性威胁,这一事件提醒我们:在2025年,IT基础设施和国家安全之间的界限实际上已经消失。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次