Datum: 17.10.2025
Povzetek
Napadalci z visoko stopnjo zmogljivosti so avgusta 2025 pridobili dolgotrajen nepooblaščen dostop do nekaterih notranjih sistemov F5, vključno z razvojnim okoljem za BIG‑IP in platformami za upravljanje inženirskega znanja. Tekom nepooblaščenega dostopa so ukradli občutljive podatke, med njimi del izvorne kode BIG‑IP, in informacije o nerazkritih ranljivostih. F5 poroča, da do zdaj ni znanih aktivnih izkoriščanj nerazkritih kritičnih ranljivosti.
Priporočeni ukrepi
Trenutno na SI-CERT nimamo informacij, da bi napadalci pridobljene podatke že izkoriščali za napade na sisteme, vendar pa te možnosti ne moremo izključiti. Napadalci imajo na voljo dovolj podatkov, da bi lahko izkoriščali nerazkrite kritične ranljivosti. Za namen zmanjšanja izpostavljenosti in možnosti uspešnega izkoriščanja ranljivosti upravljavcem F5 sistemov priporočamo izvedbo naslednjih ukrepov:
- Nemudoma preverite, ali so na voljo in nameščene najnovejše posodobitve za BIG‑IP, F5OS, BIG‑IQ, BIG‑IP Next for Kubernetes in APM odjemalce. Posodobitve izvedite takoj, ko so na voljo.
- Rotirajte administrative poverilnice, preverite in omejite dostopne skupine ter vklopite večfaktorsko avtentikacijo za upravljavske račune.
- Omogočite in pošljite BIG‑IP dogodke v SIEM, spremljajte prijave administrativnih računov, neuspele poskuse in spremembe privilegijev, spremembe v konfiguraciji.
- Uporabite F5 iHealth avtomatizirane preglede in spremljajte predlagane ukrepe za utrditev konfiguracije.
- Uporabite F5‑jev vodnik za iskanje groženj in indikatorjev zlorabe v vašem okolju. Po potrebi vključite zunanje strokovnjake za forenziko.
- Omejite upravljavske vmesnike na zaupna omrežja in VPN ter onemogočite nepotrebne javne dostope.
- Če najdete znake zlorabe ali izpostavljenih konfiguracijskih podatkov nas o tem obvestite.