F5 BIG-IP源代码泄露事件

2025年8月9日，F5公司发现多个系统遭到入侵，攻击者被描述为"高度复杂的国家级威胁行为者"，这些攻击者长期持续访问特定F5系统，包括BIG-IP产品开发环境和工程知识管理平台。这种访问导致了部分F5 BIG-IP源代码的泄露，以及F5正在研究的未公开BIG-IP漏洞信息的泄露。

根据现有信息，我们确认此次事件对我们及我们的客户没有造成任何暴露或影响。作为值得信赖的安全合作伙伴，我们正为客户和合作伙伴保持高度警惕，并监控任何可疑活动。如果有新信息改变此评估，我们将直接提供更新。

F5没有讨论威胁行为者驻留的时间长度或遏制所需的时间。然而，F5指出了几个重要事实：

• 自启动遏制措施以来，未发现新的未经授权访问或攻击者返回
• 没有未披露的关键或远程代码执行漏洞被泄露
• 没有证据表明源代码或其软件供应链被修改
• 没有零日漏洞利用的证据（这是源代码泄露带来的风险）

虽然这次入侵是在8月初发现的，但直到10月15日才公开披露。F5表示延迟披露是应美国司法部的要求。此外，美国网络安全和基础设施安全局发布了紧急指令，要求机构清查所有F5产品及其当前网络访问权限。

建议F5用户应用所有当前更新。同样重要的是要注意，此事件仅代表潜在风险。利用需要威胁行为者在源代码中发现漏洞，将其武器化，然后进行利用。在此发生之前，不会有可用的入侵指标。

为适当准备应对这种潜在情况，我们建议组织：

• 清查所有F5产品，确保它们已打补丁，并且不能从公共互联网访问
• 重新审视事件响应策略，确保它们是最新的并且最近经过实践
• 监控F5新闻，了解任何有关漏洞利用代码或概念验证代码的提及。您可能希望在Google和社交网络中为此设置关键词提醒
• 记录和监控所有对F5产品的访问，查找异常行为

Trustwave SpiderLabs将继续监控此情况的任何新进展。