F5安全漏洞暴露全球26.2万台BIG-IP系统

在F5确认遭遇国家级攻击者入侵后，超过26.2万台F5 BIG-IP设备暴露在互联网上。攻击者窃取了源代码和未公开漏洞的相关数据。

Shadowserver基金会发现262,269台F5 BIG-IP系统在线暴露，其中超过13万台位于美国。目前尚不清楚有多少系统已针对最近披露的BIG-IP漏洞进行了安全防护，这引发了人们对广泛暴露和补丁延迟的担忧。

事件详情

2025年10月中旬，网络安全公司F5披露，8月份遭遇高度复杂的国家级攻击者入侵。攻击者侵入其系统，窃取了BIG-IP源代码和与未公开漏洞相关的信息。

攻击者访问了公司的BIG-IP开发和工程系统，但F5强调遏制措施已成功实施，未观察到进一步的未经授权活动。

公司已向执法部门报告此事件，并在领先网络安全公司的帮助下调查此次安全漏洞。

F5在其CRM、财务或云系统中未发现被入侵迹象，源代码或供应链也未遭篡改。公司表示部分被盗文件包含有限的客户配置数据，正在通知受影响的客户。

F5还向美国证券交易委员会提交了8-K表格报告。

F5通过广泛的遏制和强化措施应对此次入侵，以保护其系统和客户。公司轮换了凭证、加强了访问控制、自动化了补丁管理，并改进了监控和网络安全。

该网络安全公司还加强了产品开发环境的保护，并继续与NCC Group和IOActive进行深度代码审查和渗透测试。此外，F5与CrowdStrike合作部署Falcon EDR和威胁狩猎功能，为客户提供免费EDR订阅以加强防御。

用户应及时安装BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ和APM客户端的最新更新，确保完全防护。

网络安全机构英国NCSC和美国CISA建议F5客户定位所有F5产品，保护暴露的管理接口，并评估是否已遭入侵。F5应美国政府要求延迟披露，以保护关键系统。

F5私下将此次入侵与中国关联组织UNC5221联系起来，该组织在其网络中活跃至少一年。公司警告客户注意基于Go语言的Brickstorm后门，该后门与同一组织相关，该组织以利用Ivanti零日漏洞和使用Zipline、Spawnant等定制恶意软件而闻名。