概要：F5ネットワークスへのサイバー攻撃

F5ネットワークスは、高度な国家支援型脅威アクターによるシステム侵害を公表しました。このインシデントにより、同社の主力製品であるBIG-IPのソースコードと、機密性の高い未公開の脆弱性情報が流出したことが確認されました。攻撃は2025年8月に開始され、F5の製品開発およびエンジニアリング知識プラットフォームが標的となりました。

侵害の詳細と影響範囲

調査の結果、攻撃者はBIG-IP製品開発環境およびエンジニアリング知識管理システムへの長期的なアクセスを維持していたことが判明しました。流出したデータには、BIG-IPのコアソースコードと、開発中の未公開の脆弱性に関する詳細が含まれています。しかし、F5は、盗まれたデータに重大なリモートコード実行（RCE）の脆弱性が含まれている証拠や、それらが実際に悪用された形跡はないと報告しています。

独立したレビュー（NCC GroupおよびIOActiveによる）では、ビルドおよびリリースパイプラインを含むソフトウェアサプライチェーンは侵害されておらず、NGINX、F5 Distributed Cloud Services、またはSilverlineプラットフォームへの改ざんの兆候もないことが確認されました。顧客のCRM、財務、サポートケース、iHealthシステムへのアクセスもなかったとされています。

ただし、流出した知識プラットフォームファイルのごく一部には、特定の顧客に関連する設定および実装の詳細が含まれていました。F5は、影響を受ける可能性のある組織には直接連絡を取り、潜在的な影響を評価すると述べています。

F5の対応と推奨事項

F5は、残存するリスクを排除するため、BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ、およびAPMクライアント向けに更新版をリリースしました。顧客には、これらのパッチを直ちに展開するよう強く推奨しています。

推奨される対策：

• BIG-IP展開全体での検出と監視を強化するための脅威ハンティングガイドの活用。
• システム強化のためのベストプラクティスの適用。F5 iHealth Diagnostic Toolに統合された自動チェック機能で設定のギャップを特定し、修正を優先。
• BIG-IPイベントを顧客のSIEMにストリーミングするための詳細な手順。これにより、管理ログイン、認証失敗、設定変更の可視性が向上。

F5のグローバルサポートチームは、更新、強化手順、および顧客からの問い合わせに対応する準備ができています。

防御の強化と信頼の再構築

侵害発覚以来、F5は企業および製品インフラストラクチャの両方を強化するための包括的な措置を講じています。具体的には、以下の対策が実施されました：

• アクセス資格情報のローテーションと強化。
• 自動化されたインベントリおよびパッチ管理ツールの強化。
• ネットワークセキュリティアーキテクチャのアップグレード。
• 製品開発環境におけるより厳格なセキュリティ制御と継続的な監視の導入。

さらに、F5はCrowdStrikeと提携し、BIG-IPにFalcon EDRセンサーとOverwatch Threat Huntingを拡張しています。早期アクセス展開では、顧客に無料のFalcon EDRサブスクリプションが提供され、検出および対応能力が強化されます。NCC GroupおよびIOActiveによる継続的なコードレビューと侵入テストも実施され、脆弱性が悪用される前に発見・修正することを目指しています。

F5ネットワークスは、顧客の信頼が最重要であると強調し、このインシデントから得られた教訓を将来の防御に統合するため、透明性と広範なセキュリティコミュニティとの協力を約束しています。同社は、アドバイザリページを新しい進展とリソースで更新し続ける予定です。

---

元記事: https://gbhackers.com/hackers-breach-f5-steal-big-ip-source-code/