F5 BIG-IP遭国家级黑客入侵:防火墙如何成为完美特洛伊木马

F5 Networks确认遭受国家级黑客组织入侵,攻击者窃取了BIG-IP产品线的源代码和漏洞情报,可能引发针对关键基础设施的新一波零日攻击。入侵持续12个月未被发现,暴露出供应链安全严重隐患。

F5 BIG-IP遭国家级黑客入侵:防火墙如何成为完美特洛伊木马

事件概述

美国技术供应商F5 Networks确认遭受国家级威胁行为者的入侵,攻击者成功渗透其内部环境,窃取了其旗舰产品BIG-IP产品线的源代码和漏洞情报。BIG-IP是全球政府、电信和财富500强企业使用的核心网络和应用交付系统。

安全官员担忧,被盗数据可能使攻击者能够武器化F5设备中未公开的漏洞,引发针对关键基础设施的新一波零日攻击。

入侵详情:长达一年的渗透

F5披露在2025年8月发现此事件,当时内部监控标记了其产品开发和工程知识管理环境中的可疑活动。后续调查显示,一个高度复杂的国家级组织已保持持续、未被发现的访问至少12个月。

攻击者窃取了:

  • 多个BIG-IP模块的源代码(包括TMOS和F5OS组件)
  • 详细说明正在开发中的未修补或未披露漏洞的内部文档
  • 少量客户的有限配置和实施数据

尽管公司未指名攻击者,但彭博社引用的情报来源将此入侵与中国国家支持的操作人员联系起来,与早期针对思科、VMware和Fortinet的攻击活动相呼应。

攻击剖析

F5的内部取证分析(得到CrowdStrike、Mandiant和NCC Group支持)表明这是一次多阶段入侵,类似于供应链和内部渗透策略的混合:

初始访问 — 可能通过受损的开发人员凭据或用于访问F5构建环境的第三方供应商账户实现

持久性和横向移动 — 攻击者部署了隐秘的植入程序,保持对源代码仓库和知识系统的操作控制达数月之久

数据外泄 — 敏感文件以小型加密片段形式外泄,以避免被数据丢失防护系统检测

掩盖痕迹 — 攻击者使用基于时间的文件操作和日志篡改来模仿合法的开发人员活动

接近调查的消息来源称,在多个工程服务器上发现了名为"Brickstorm"的自定义后门痕迹。据报道,该后门通过合法的开发工具建立安全隧道,并设计在营业时间保持休眠以逃避行为分析。

受影响与未受影响范围

F5确认入侵仅限于BIG-IP和相关开发环境。没有证据表明攻击者访问了:

  • F5的CRM、财务或客户支持系统
  • NGINX(企业反向代理和Web服务器)
  • 分布式云服务或Silverline DDoS基础设施

调查人员未发现生产固件或软件更新机制被篡改的迹象 — 尽管专家警告"缺乏证据不等于证据不存在"。

F5 BIG-IP产品线支撑着银行、数据中心、军事网络、ISP和政府机构的关键运营。这些系统处理SSL终止、负载均衡和访问管理 — 意味着任何妥协都可能授予对加密流量的深度可见性。

潜在威胁场景

零日漏洞开发:攻击者可能使用被盗源代码识别新漏洞

固件后门植入:被盗的构建知识可能使武器化更新成为可能

定向间谍活动:被入侵的BIG-IP实例可能被用于监控加密流量或转向内部网络

安全研究人员警告,此次入侵可能导致新型"供应链间谍活动",对手武器化供应商源代码以在数月甚至数年后攻击供应商的客户。

遏制与响应

发现入侵后,F5立即聘请了顶级网络安全公司:

  • CrowdStrike在其F5基础设施上部署了Falcon EDR传感器
  • Mandiant进行取证以映射持久性机制
  • NCC Group和IOActive对BIG-IP的构建管道和代码库进行了完整性审计

F5表示这些审查未发现篡改或新插入恶意代码的证据。

为恢复客户信心,F5还:

  • 轮换了所有可能受损的签名证书和加密密钥
  • 重新设计了产品开发环境的网络分段和访问控制
  • 宣布将为所有受支持的BIG-IP客户提供CrowdStrike Falcon EDR的免费访问权限以增强可见性

政府指令与行业反应

CISA紧急指令

美国网络安全和基础设施安全局发布紧急指令,命令所有联邦机构:

  • 识别并清点所有F5设备
  • 应用新发布的F5更新
  • 限制对管理接口的外部访问
  • 停用任何已终止支持的BIG-IP设备

各机构必须在2025年12月3日前向CISA报告合规情况。

英国NCSC建议

英国国家网络安全中心确认,虽然没有主动利用的证据,但所有客户应:

  • 修补BIG-IP、BIG-IQ、BIG-IP Next和F5OS系统
  • 审查安全加固和监控配置
  • 按照F5的威胁搜寻指南实施SIEM集成

企业教训

假设供应商已受损:即使是受信任的网络安全供应商也可能被入侵

基础设施设备的零信任:BIG-IP和类似系统绝不应暴露不受限制的管理接口

监控Brickstorm指标:F5的内部威胁搜寻指南包括检测潜在后门的模式

加速补丁周期:组织必须立即应用F5的最新更新,以在潜在零日被武器化之前关闭它们

关键要点

  • F5的BIG-IP源代码和漏洞研究被国家级行为者窃取(疑似中国APT)
  • 入侵在检测前持续12个月以上
  • 环境中发现Brickstorm后门
  • 生产固件无篡改证据 — 但未来利用风险高
  • CISA和NCSC已发布紧急修补和缓解指令

F5 BIG-IP入侵不仅是另一个企业安全失误 — 它代表了全球互联网信任层的战略性妥协。攻击者现在拥有世界上部署最广泛的网络安全系统之一的内部级别知识。

当企业急于修补和监控隐藏的持久性时,此事件提醒我们:在2025年,IT基础设施与国家安全之间的界线实际上已经消失。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次