Хиляди мрежови устройства F5 остават уязвими след голям киберпробив, който разкри сериозни слабости, изходен код и други чувствителни данни на компанията.

Дългосрочно проникване от държавно подкрепен нападател

На 15 октомври 2025 г., F5 Networks – един от водещите производители на мрежови и защитни решения – разкри, че е станала жертва на дългосрочна атака от високоорганизиран държавно подкрепен хакерски екип.
Компанията потвърди, че нападателите са извлекли файлове от средата за разработка на BIG-IP продуктите и от инженерните ѝ бази знания, съдържащи част от изходния код и информация за все още неразкрити уязвимости.

F5 увери, че няма доказателства за активна експлоатация на неразкрити слабости и че инцидентът е овладян, без да бъдат засегнати продуктите NGINX, Distributed Cloud и Silverline.

Над четвърт милион открити F5 системи само в САЩ

По данни на Censys, която сканира интернет за уязвими активи, 262 500 F5 системи са открити в САЩ – 38.5% от всички в света.
Следват Германия (47 600), Франция (46 700), Япония (29 100) и Китай (24 400), както и хиляди в Обединеното кралство, Нидерландия, Австралия и Бразилия.

Повече от 90% от засечените устройства работят с BIG-IP Local Traffic Manager (LTM) или Access Policy Manager (APM), а по-малък дял включва Application Security Manager (ASM) и Advanced WAF.

Shadowserver Foundation – независима организация, която следи интернет за заплахи – също отчита 269 000 IP адреса с изложени F5 системи, почти половината от които се намират в САЩ.

Географско разпределение на уязвимите устройства. Източник:Censys

Критични уязвимости и реакцията на CISA

Инцидентът предизвика спешна реакция от страна на Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA), която издаде извънредна директива на 25 септември 2025 г., задължаваща всички федерални агенции да:

• инвентаризират засегнатите устройства,

• извършат форензичен анализ чрез core dumps,

• приложат пачове в рамките на 24 часа,

• или да изключат остарялото оборудване.

„Лекотата, с която тези уязвимости могат да бъдат експлоатирани, изисква незабавни и решителни действия,“ предупреди Мадху Готумукала, действащ директор на CISA.
Той допълни, че същите рискове важат за всички организации, използващи технологии на F5, което може да доведе до катастрофални последици за критични системи.

Обновления и препоръки

F5 вече публикува пачове за своите решения, включително BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ и APM клиенти. Те адресират сериозни уязвимости, познати на нападателите.

Censys препоръчва на организациите да:

• направят пълен инвентар на всички F5/BIG-IP активи (хардуерни, виртуални и облачни),

• ограничат достъпа до административните интерфейси (TMUI, iControl REST, APM, API) от недоверени мрежи,

• и проверят версиите на системите си, за да гарантират, че последните обновления са приложени.

Потенциален риск за бъдещи атаки

Въпреки уверенията на компанията, експертите предупреждават, че изтичането на изходен код и вътрешна архитектурна информация може да позволи разработването на бъдещи zero-day атаки.
Предвид факта, че F5 системите управляват огромна част от глобалния интернет трафик, всяка непачната инсталация представлява потенциална точка за масово компрометиране.