摘要:F5公司已确认其成为一起国家支持的网络攻击受害者,黑客借此入侵其内部系统并窃取重要技术数据。该公司表示,攻击者在2025年8月被发现前已长期潜伏。
F5公司已确认其成为一起国家支持的网络攻击受害者,黑客借此入侵其内部系统并窃取重要技术数据。该公司表示,攻击者在2025年8月被发现前已长期潜伏。
Part01数据泄露详情根据F5官方声明,此次事件导致包含BIG-IP部分源代码、内部漏洞研究文件及少量客户配置细节的数据被盗。公司强调未发现CRM、财务、支持案例管理或 iHealth 系统访问或泄露数据的证据,软件供应链、NGINX 源代码或产品开发环境未被修改,日常运营未受影响。
Part02国家级攻击特征英国国家网络安全中心(NCSC)后续证实,该事件破坏了F5部分内部网络,攻击手法呈现与国家级行动相符的高级持续性特征。使用F5 BIG-IP及相关产品的政府机构和企业客户被敦促立即应用所有最新补丁并复查访问控制策略。
Part03攻击者意图分析调查人员认为攻击者主要意图是获取F5产品深层技术原理的情报。此类信息可帮助攻击者在漏洞公开披露或修复前发现弱点。安全研究人员警告,若窃取资料被分析或共享,可能显著降低未来漏洞利用的开发难度。
Team Cymru现场首席信息安全官Will Baxter指出:"此次事件再次证明现代攻击面已深入软件开发生命周期,针对源代码仓库和构建环境的威胁组织正通过内部视角理解安全控制机制,以获取长期情报价值。"
Baxter强调:"监控外联通信、威胁行为体C2基础设施及异常数据外传模式是早期发现此类活动的关键。将外部威胁情报与内部遥测数据结合,能为防御者提供检测和遏制高级入侵所需的上下文。"
Part04事件响应进展及连锁反应F5已在 NCC Group 和 IOActive 的支持下,继续对产品进行代码审查和渗透测试,以识别和修复代码中的漏洞。此外,F5也与 CrowdStrike 合作,将威胁搜寻扩展到 BIG-IP,以提高可见性并加强防御。
此次事件时机尤为敏感——就在F5公开入侵事件前一周,SonicWall刚确认其防火墙备份系统遭入侵导致客户配置数据泄露。两起事件凸显攻击者日益瞄准安全厂商的新趋势,这警示企业不仅需要审查自身网络,还需重新评估其依赖的防护体系。
参考来源:
F5 Confirms Nation-State Breach, Source Code and Vulnerability Data Stolen
https://hackread.com/f5-breach-source-code-vulnerability-data-stolen/来源:FreeBuf
