F5安全事件通告

执行摘要

2025年10月15日，F5 Networks公开披露了一起涉及国家级威胁行为者的严重安全漏洞。入侵者长期持续访问F5的内部系统，特别是BIG-IP产品开发环境和工程知识管理平台。F5于2025年8月9日首次检测到未经授权的活动，但由于美国司法部出于国家安全考虑的要求，直到10月中旬才延迟公开披露。

此次攻击促使网络安全和基础设施安全局（CISA）发布紧急指令，要求美国联邦机构识别暴露的设备并对其进行修补或断开连接。这一指导——加上对关键IT和安全基础设施的攻击持续增加——强调了采用零信任原则的重要性，例如减少不必要的暴露、实施细粒度微分段和维护默认拒绝访问控制策略。

可能的威胁行为者和归因

F5将攻击者描述为“高度复杂的国家级”对手。2025年10月15日，F5向其客户分发了一份威胁狩猎指南，详细介绍了中国国家支持的黑客使用的名为BRICKSTORM的恶意软件。疑似间谍组织UNC5221以部署这种隐秘恶意软件作为后门来维持持久性而闻名。

UNC5221至少自2023年以来一直活跃，专门从主要科技公司窃取源代码，以发现其产品中的可利用错误。BRICKSTORM后门是一种基于Go的恶意软件，专为网络设备（通常缺乏传统的端点检测和响应[EDR]可见性）设计，并支持SOCKS代理以实现隐秘的远程访问。

该行为者的行动优先考虑在服务器或负载均衡器等设备上保持长期立足点，在受害者网络中的平均停留时间超过一年。在F5的案例中，据报道攻击者在检测前至少访问网络12个月。虽然初始访问向量仍未确认，但UNC5221在可能的情况下会利用边界设备中的零日漏洞。

泄露细节和被盗数据

此次泄露的规模——包括被盗的源代码、内部漏洞文档和客户配置——使其从企业入侵转变为国家安全问题，促使CISA立即发布紧急指令。

泄露针对F5基础设施的以下领域：

BIG-IP开发环境： 攻击者访问并窃取了部分专有源代码。这包括F5旗舰BIG-IP产品线的代码，该产品线是企业和政府的关键网络基础设施。 窃取源代码允许对手分析漏洞或后门机会。然而，F5和独立审计员（NCC Group和IOActive）确认威胁行为者未更改源代码、注入恶意代码或破坏构建管道。

工程知识库： 攻击者还访问了F5的内部知识管理系统，获取了关于F5工程师正在调查或修复的未披露（零日）漏洞的内部文档。这为攻击者提供了F5产品中未发布安全缺陷的虚拟路线图。 尽管F5强调在披露时“不知道有未披露的、关键的或RCE漏洞被主动利用”，但拥有这些数据为攻击者提供了显著优势。有了这些细节，他们可以快速开发未修补漏洞的利用程序，加速零日攻击。

客户配置数据： 一小部分客户特定数据也被窃取。从知识平台提取的一些文件包括选定客户的网络拓扑、设备配置或部署细节。F5在审查受损文件后直接通知受影响的客户。

未访问的系统： F5的调查显示，没有证据表明未经授权访问其他企业系统，例如客户支持系统、CRM数据库、财务记录、iHealth诊断、NGINX产品代码或F5 Cloud/Silverline服务。该事件似乎仅限于BIG-IP工程环境。

漏洞和利用向量

迄今为止，F5未披露攻击者利用的任何零日漏洞、常见漏洞和暴露（CVE）或其他进入方法。公司报告没有证据表明利用产品漏洞作为初始访问向量。

并发漏洞修补： 结合事件披露，F5发布了2025年10月的季度安全通知，解决了多个产品中的44个新漏洞（相比之下，上一季度仅为六个）。尽管修补细节有限，但可以合理推断其中一些修复可能涉及受损数据中引用的问题。

10月补丁中值得注意的CVE包括：

• CVE‑2025‑53868（CVSS 8.7）： BIG-IP SCP/SFTP认证绕过漏洞（影响v15.x–17.x），可能允许未经授权的系统访问。
• CVE‑2025‑61955和CVE‑2025‑57780（均为CVSS 8.8）： F5的F5OS-A和F5OS-C（设备和标准模式）中的权限升级缺陷。认证用户可能绕过“设备模式”限制并获得root级别访问。这可能潜在地访问底层操作系统。
• CVE‑2025‑60016（CVSS 8.7）： BIG-IP SSL/TLS实现漏洞，可能暴露加密流量元数据。在BIG-IP v17.1.2+中修复。此“TLS元数据泄漏”问题可能对应CISA指令中提到的“cookie泄漏”风险，其中攻击者可能获取会话或加密信息——可能在某些条件下启用会话劫持或流量解密。
• CVE‑2025‑48008（CVSS 8.7）： BIG-IP处理MPTCP（多路径TCP）的缺陷，可能导致拒绝服务（可能崩溃流量管理微内核）。在v17.1.2.2、16.1.6、15.1.10.8中修补。虽然DoS不直接帮助入侵，但可能与其他步骤结合使用或用于破坏系统。
• CVE‑2025‑61974（CVSS 8.7）： 另一个跨多个产品系列的BIG-IP SSL/TLS问题，在v17.5.1.3及等效版本中解决。细节稀疏，但似乎涉及需要紧急修复的加密处理。

野外利用： 在披露时，F5和行业观察员均未报告这些漏洞的主动利用。然而，CISA警告称，被盗代码和漏洞细节构成“迫在眉睫的威胁”，因为攻击者可能利用这些信息快速开发利用程序。

推荐行动

• 识别所有F5资源，包括硬件、软件和虚拟设备。
• 将管理接口与互联网隔离，并调查任何检测到的暴露。
• 更改所有默认凭据。
• 遵循F5的强化指南并实施最新的安全更新。
• 替换已达到支持生命周期结束的废弃产品。
• 持续监控网络和系统日志以检测未经授权的活动。

最佳实践

遵循CISA指令 及时遵守CISA关于缓解F5设备漏洞的紧急指令对于最小化影响至关重要。

实施零信任架构 实施真正的零信任架构以减少攻击面并阻止和隔离恶意流量是关键的基础步骤。优先考虑用户到应用的分段，不将用户置于与应用程序相同的网络上。这提供了防止横向移动并阻止攻击者到达核心应用程序的有效方法。

保护环境的主动措施

鉴于最近影响F5的安全漏洞，必须采用以下最佳实践来加强组织防范潜在利用。

• 最小化攻击面： 使用零信任访问代理从互联网取消发布应用程序（和易受攻击的设备），确保攻击者无法获得初始访问。
• 防止初始入侵： 内联检查所有流量，自动阻止零日利用、恶意软件和其他复杂威胁。
• 强制执行最小权限访问： 使用身份和上下文限制用户、流量、系统和应用程序的权限，确保只有授权用户才能访问指定资源。
• 消除横向移动： 将用户直接连接到应用程序，而不是网络，以限制潜在事件的影响范围。
• 关闭受感染用户和内部威胁： 启用内联检查和监控，以检测有权访问网络、私有应用程序和数据的受感染用户。
• 保持补丁和更新最新： 保持系统和应用程序安全最新，特别是如果暴露在互联网上。
• 阻止数据丢失： 检查传输中和静止的数据，以在攻击期间阻止主动数据盗窃。
• 部署主动防御： 利用带有诱饵的欺骗技术，并执行每日威胁狩猎，以实时破坏和捕获攻击。
• 培养安全文化： 许多漏洞始于通过网络钓鱼攻击破坏单个用户账户。优先考虑定期网络安全意识培训可以帮助降低此风险并保护员工免受侵害。
• 测试安全态势： 定期进行第三方风险评估并进行紫队活动，以识别和强化安全计划中的差距。要求您的服务提供商和技术合作伙伴做同样的事情，并与您的安全团队分享这些报告的结果。

结论

F5漏洞强调了针对基础IT基础设施的复杂攻击者带来的不断演变的风险。组织必须迅速采取上述推荐的缓解步骤，并采用全面的零信任策略以最小化暴露。随着F5设备在全球企业和政府中部署，此事件突显了广泛利用的潜力。组织必须优先考虑系统的修补和强化，以防止对手利用暴露的漏洞。

请注册我们的F5漏洞网络研讨会，以获取有关攻击的更多细节、如何修复风险以及如何保护您的组织。