F5遭国家级攻击:防火墙源码窃取与供应链潜伏威胁

F5网络公司确认其BIG-IP产品线的源代码和漏洞情报被国家级威胁行为者窃取。攻击者潜伏至少12个月,可能利用窃取的数据开发零日漏洞攻击,危及全球关键基础设施。文章深入分析了攻击过程、潜在威胁场景及官方应对措施。

您的防火墙安全吗?F5黑客事件证明它是完美的特洛伊木马

在一项被描述为今年最具影响力的网络间谍行动中,美国技术供应商F5 Networks证实,国家级威胁行为者成功渗透了其内部环境,窃取了其旗舰BIG-IP产品线的源代码和漏洞情报——这是一个被全球政府、电信和财富500强公司使用的核心网络和应用交付系统。安全官员担心,被盗数据可能使攻击者能够利用F5设备中未公开的缺陷,制造出一波针对关键基础设施的新零日漏洞利用。

入侵:长达一年的渗透

F5披露,它于2025年8月意识到该事件,当时内部监控标记了其产品开发和工程知识管理环境中的可疑活动。随后的调查显示,一个高度复杂的国家级组织已保持至少12个月的持久、未被察觉的访问。

攻击者窃取了:

  • 多个BIG-IP模块(包括TMOS和F5OS组件)的源代码。
  • 详细说明正在积极开发的未修补或未公开漏洞的内部文档。
  • 少量客户的有限配置和实施数据。

尽管该公司没有点名肇事者,但彭博社引用的情报来源将此事件与中国国家支持的行动者联系起来,这与早些时候针对思科、VMware和Fortinet的活动相呼应。

攻击剖析

F5的内部取证分析,在CrowdStrike、Mandiant和NCC Group的协助下,表明入侵分为多个阶段,类似于供应链和内部渗透战术的混合:

  • 初始访问——可能通过受损的开发人员凭据或用于访问F5构建环境的第三方供应商帐户实现。
  • 持久性和横向移动——攻击者部署了隐蔽的植入程序,在数月内保持对源代码仓库和知识系统的操作控制。
  • 数据窃取——敏感文件被分割成小的加密片段进行窃取,以避免被数据丢失防护系统检测到。
  • 掩盖痕迹——攻击者使用基于时间的文件操作和日志篡改来模仿合法的开发人员活动。

接近调查的消息人士称,在几台工程服务器上发现了名为“Brickstorm”的自定义后门的痕迹。据报道,该后门通过合法的开发工具建立安全隧道,并设计为在正常工作时间内保持休眠状态,以规避行为分析。

受影响与未受影响的范围

F5确认,此次入侵仅限于BIG-IP及相关开发环境。没有证据表明攻击者访问了:

  • F5的CRM、财务或客户支持系统。
  • NGINX(企业反向代理和Web服务器)。
  • 分布式云服务或Silverline DDoS基础设施。

调查人员未发现对生产固件或软件更新机制的篡改——尽管专家警告说“没有证据不等于证据不存在”。

F5的BIG-IP产品线支撑着银行、数据中心、军事网络、ISP和政府机构的关键运营。这些系统处理SSL终止、负载均衡和访问管理——这意味着任何泄露都可能授予对加密流量的深度可见性。

潜在威胁场景

  • 零日漏洞利用开发:攻击者可以利用窃取的源代码识别新的漏洞。
  • 固件后门植入:窃取的构建知识可能使武器化更新成为可能。
  • 针对性间谍活动:被攻陷的BIG-IP实例可用于监控加密流量或跳转进入内部网络。

安全研究人员警告,此次泄露可能导致新型“供应链间谍活动”,对手利用供应商的源代码攻击其客户,甚至在数月或数年后才发起攻击。

遏制与响应

在识别出入侵后,F5立即聘请了顶级网络安全公司:

  • CrowdStrike在其F5基础设施中部署了Falcon EDR传感器。
  • Mandiant进行取证以绘制持久化机制。
  • NCC Group和IOActive对BIG-IP的构建管道和代码库进行了完整性审计。

F5表示,这些审查没有发现篡改或新插入恶意代码的证据。

为了恢复客户信心,F5还:

  • 轮换了所有可能受损的签名证书和加密密钥。
  • 重新设计了其产品开发环境的网络分段和访问控制。
  • 宣布将为所有受支持的BIG-IP客户免费提供CrowdStrike Falcon EDR的访问权限,以增强可见性。

政府指令与行业反应

CISA紧急指令 美国网络安全和基础设施安全局发布了一项紧急指令,命令所有联邦机构:

  • 识别并清点所有F5设备。
  • 应用新发布的F5更新。
  • 限制对管理接口的外部访问。
  • 停用任何已终止支持的BIG-IP设备。

各机构必须在2025年12月3日前向CISA报告合规情况。

英国NCSC建议 英国国家网络安全中心确认,虽然没有主动利用的证据,但所有客户应:

  • 修补BIG-IP、BIG-IQ、BIG-IP Next和F5OS系统。
  • 审查安全强化和监控配置。
  • 按照F5的威胁狩猎指南实施SIEM集成。

企业应吸取的教训

  • 假设供应商已遭入侵:即使是受信任的网络安全供应商也可能被攻破。
  • 基础设施设备实行零信任:BIG-IP和类似系统的管理接口绝不应无限制地暴露。
  • 监控Brickstorm迹象:F5的内部威胁狩猎指南包含检测潜在后门的模式。
  • 加快补丁周期:组织必须立即应用F5的最新更新,以便在潜在零日漏洞被武器化之前将其关闭。

结语

F5泄露事件突显了一个关键转变:攻击者正在瞄准关键基础设施的构建者,而不仅仅是使用者。通过渗透产品开发环境,对手获得了前所未有的力量——能够在源头插入漏洞或储存漏洞情报以便随意使用。

在一个像BIG-IP这样的设备位于全球企业流量核心的互联世界中,此事件可能会重新定义软件供应链安全的紧迫性。

关键要点

  • F5的BIG-IP源代码和漏洞研究被国家级攻击者(疑似中国APT)窃取。
  • 入侵持续12个多月才被发现。
  • 环境中发现了Brickstorm后门。
  • 没有生产固件被篡改的证据——但未来利用风险很高。
  • CISA和NCSC已发布紧急修补和缓解指令。

F5 BIG-IP泄露事件不仅仅是一次企业安全失误——它代表着全球互联网信任层的战略妥协。攻击者现在掌握了对全球部署最广泛的网络安全系统之一的内部级知识。

随着企业争相修补和监控隐藏的持久化威胁,这一事件提醒我们:在2025年,IT基础设施和国家安全之间的界限实际上已经消失。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次