概要:F5へのサイバー攻撃と機密情報の流出
F5ネットワークスは、高度な国家支援型脅威アクターが同社のシステムに侵入し、独自のBIG-IPソースコードと機密の脆弱性情報が流出したことを確認しました。このインシデントは2025年8月に始まり、F5の製品開発およびエンジニアリング知識プラットフォームが標的となりました。同社は顧客を保護し、信頼を回復するために即座に対応し、一連の緩和策を講じています。
開発環境における長期的なアクセスと盗まれたデータ
F5が公開した勧告によると、調査の結果、攻撃者はBIG-IP製品開発環境およびエンジニアリング知識管理システムへの長期的なアクセスを維持していたことが判明しました。コアとなるBIG-IPソースコードと、開発中の未公開の脆弱性に関する詳細情報を含むファイルが盗まれたことが確認されています。しかし、F5は、盗まれたデータに重大なリモートコード実行の欠陥が含まれている証拠や、実際に悪用された形跡はないと報告しています。
NCC GroupとIOActiveによる独立したレビューでは、ビルドおよびリリースパイプラインを含むソフトウェアサプライチェーンは侵害されておらず、NGINX、F5 Distributed Cloud Services、またはSilverlineプラットフォームへの改ざんの兆候もないことが裏付けられました。顧客のCRM、財務、サポートケース、iHealthシステムへのアクセスはなかったものの、F5は、流出した知識プラットフォームファイルのごく一部に、特定の顧客に関連する構成および実装の詳細が含まれていたことを認めました。影響を受ける組織には、F5が環境への潜在的な影響をレビューおよび評価した上で、直接連絡が行われます。
緊急のアップデートとシステム強化の推奨事項
残存するリスクを排除するため、F5はBIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ、およびAPMクライアント向けに更新版をリリースしました。顧客はこれらのパッチを直ちに展開することが強く推奨されています。補完的なガイダンスには以下のものが含まれます。
- BIG-IP展開全体での検出と監視を強化するための脅威ハンティングガイド。
- システム強化のためのベストプラクティス。F5 iHealth診断ツールに統合された自動チェックにより、構成のギャップを特定し、修復の優先順位を付けます。
- BIG-IPイベントを顧客のSIEMにストリーミングするための段階的な手順。これにより、管理ログイン、認証失敗、構成変更の可視性が向上します。
F5のグローバルサポートチームは、MyF5サポートケースまたはF5サポートへの直接連絡を通じて、アップデート、強化手順、および顧客からの問い合わせに対応する準備ができています。
防御の強化と信頼の再構築
侵害の発見以来、F5はエンタープライズおよび製品インフラストラクチャの両方を強化するための包括的な措置を講じています。アクセス資格情報はローテーションされ、強化されました。自動化されたインベントリおよびパッチ管理ツールは強化され、ネットワークセキュリティアーキテクチャはアップグレードされました。製品開発環境には、より厳格なセキュリティ制御と継続的な監視が導入されています。
今後、F5はCrowdStrikeと提携し、BIG-IPにFalcon EDRセンサーとOverwatch脅威ハンティングを拡張します。早期アクセス展開では、顧客に無料のFalcon EDRサブスクリプションが提供され、検出および対応能力が強化されます。NCC GroupとIOActiveによる継続的なコードレビューと侵入テストは、脆弱性が悪用される前に発見し、修正することを目的としています。
F5ネットワークスは、顧客の信頼が最重要であると強調し、このインシデントから得られた教訓を将来の防御に統合するにあたり、透明性と広範なセキュリティコミュニティとの協力を約束しています。同社は、新たな進展とリソースについて、勧告ページを更新し続ける予定です。
元記事: https://gbhackers.com/hackers-breach-f5-steal-big-ip-source-code/