Американская компания в сфере кибербезопасности F5 стала жертвой масштабной атаки, которую приписали «высококвалифицированному государственному субъекту угрозы». Компания обнаружила взлом 9 августа 2025 года и в среду официально уведомила Комиссию по ценным бумагам и биржам США (SEC), подав соответствующую форму 8-K.
Злоумышленники получили долгосрочный и постоянный доступ к внутренней сети F5. Хотя точная продолжительность их присутствия не разглашается, характер доступа указывает на целенаправленную и тщательно спланированную операцию. Основной целью атаки стала интеллектуальная собственность компании, связанная с её флагманским продуктом.
В результате взлома были похищены фрагменты исходного кода продукта BIG-IP. Это даёт атакующим возможность детально изучить внутреннюю архитектуру системы для поиска ранее неизвестных слабых мест. Одновременно были украдены данные о нераскрытых уязвимостях в том же продукте, что создаёт риск их последующей эксплуатации.
Помимо исходного кода, нападавшие получили доступ к внутренней платформе управления знаниями F5. Из этой системы были эксфильтрованы файлы, содержащие информацию о конфигурации и внедрении продуктов для «небольшого процента клиентов». Это создает прямую угрозу для затронутых организаций, чьи настройки безопасности могли быть скомпрометированы.
Атака была сфокусирована на средах разработки. Подтверждено, что злоумышленники получили доступ к окружению, где велась работа над BIG-IP, а также к вышеупомянутой платформе управления знаниями. Эти системы содержали наиболее ценную техническую информацию.
Ключевые бизнес-системы F5 не были затронуты. Компания подтвердила, что взлом не коснулся её CRM-систем (управление взаимоотношениями с клиентами), финансовых систем, систем управления обращениями в службу поддержки и облачных сервисов iHealth. Это ограничило прямое воздействие на операционную деятельность и финансовые данные.
Компания F5 заявляет, что предприняла «обширные действия для сдерживания субъекта угрозы» и считает свои усилия успешными. С момента начала мероприятий по локализации инцидента новой несанкционированной активности в сетях компании зафиксировано не было.
Несмотря на кражу информации об уязвимостях, F5 сообщает об отсутствии каких-либо свидетельств того, что эти данные были использованы в злонамеренных целях против клиентов. Однако потенциальный риск сохраняется до тех пор, пока все пользователи не обновят свои системы.
F5 настоятельно рекомендует всем пользователям как можно скорее применить последние обновления безопасности для обеспечения максимальной защиты. Обновления требуются для целого ряда продуктов, включая BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ и клиенты APM.
Изображение носит иллюстративный характер
Злоумышленники получили долгосрочный и постоянный доступ к внутренней сети F5. Хотя точная продолжительность их присутствия не разглашается, характер доступа указывает на целенаправленную и тщательно спланированную операцию. Основной целью атаки стала интеллектуальная собственность компании, связанная с её флагманским продуктом.
В результате взлома были похищены фрагменты исходного кода продукта BIG-IP. Это даёт атакующим возможность детально изучить внутреннюю архитектуру системы для поиска ранее неизвестных слабых мест. Одновременно были украдены данные о нераскрытых уязвимостях в том же продукте, что создаёт риск их последующей эксплуатации.
Помимо исходного кода, нападавшие получили доступ к внутренней платформе управления знаниями F5. Из этой системы были эксфильтрованы файлы, содержащие информацию о конфигурации и внедрении продуктов для «небольшого процента клиентов». Это создает прямую угрозу для затронутых организаций, чьи настройки безопасности могли быть скомпрометированы.
Атака была сфокусирована на средах разработки. Подтверждено, что злоумышленники получили доступ к окружению, где велась работа над BIG-IP, а также к вышеупомянутой платформе управления знаниями. Эти системы содержали наиболее ценную техническую информацию.
Ключевые бизнес-системы F5 не были затронуты. Компания подтвердила, что взлом не коснулся её CRM-систем (управление взаимоотношениями с клиентами), финансовых систем, систем управления обращениями в службу поддержки и облачных сервисов iHealth. Это ограничило прямое воздействие на операционную деятельность и финансовые данные.
Компания F5 заявляет, что предприняла «обширные действия для сдерживания субъекта угрозы» и считает свои усилия успешными. С момента начала мероприятий по локализации инцидента новой несанкционированной активности в сетях компании зафиксировано не было.
Несмотря на кражу информации об уязвимостях, F5 сообщает об отсутствии каких-либо свидетельств того, что эти данные были использованы в злонамеренных целях против клиентов. Однако потенциальный риск сохраняется до тех пор, пока все пользователи не обновят свои системы.
F5 настоятельно рекомендует всем пользователям как можно скорее применить последние обновления безопасности для обеспечения максимальной защиты. Обновления требуются для целого ряда продуктов, включая BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ и клиенты APM.
