事件概述
2025 年 10 月 15 日,应用交付与安全领域巨头 F5 Networks 向美国证券交易委员会(SEC)提交了一份 8-K 表格,正式披露了一起重大网络安全事件。根据官方报告,一个被描述为"高度复杂的国家级威胁行为者"(highly sophisticated nation-state threat actor)成功入侵 F5 系统,并对其维持了"长期、持续访问"(long-term, persistent access)。
F5 于 2025 年 8 月 9 日首次发现入侵,并立即启动了事件响应流程,聘请了包括 CrowdStrike 和 Mandiant 在内的顶级网络安全专家协助调查。值得注意的是,美国司法部在 2025 年 9 月 12 日确定有必要延迟公开披露此事件,这通常意味着涉及重大国家安全调查,需要时间进行秘密追踪和遏制。
攻击者成功窃取了三类关键资产:
-
BIG-IP 产品开发环境中的部分源代码 -
关于 BIG-IP 未公开漏洞的研究信息 -
工程知识管理平台中的文件,包含少量客户的配置或实施信息
F5 强调,其软件供应链(包括源代码、构建和发布管道)未被修改,这一评估已通过 NCC Group 和 IOActive 的独立审查得到验证。同时,公司确认没有证据表明攻击者访问或窃取了客户关系管理系统、财务系统、支持案例管理系统、iHealth 系统、NGINX 源代码或 F5 分布式云服务等关键系统。
事件时间线与关键节点
F5 安全事件从发现到响应再到公开披露,经历了一个复杂而系统的过程。以下是完整的事件时间轴:
日期
|
事件
|
阶段
|
2025-08-09
|
F5 发现高度复杂的国家级威胁行为者入侵其系统
|
发现阶段
|
2025-08-09
|
F5 立即启动事件响应流程
|
响应阶段
|
2025-08-10
|
F5 聘请CrowdStrike、Mandiant 等外部网络安全专家协助调查
|
响应阶段
|
2025-08-15
|
F5 确认攻击者窃取了部分BIG-IP 源代码和未公开漏洞信息
|
调查阶段
|
2025-09-12
|
美国司法部要求延迟公开披露该事件
|
合规阶段
|
2025-10-10
|
F5 聘请 IOActive 和 NCC Group 对其产品进行代码审计和渗透测试
|
合规阶段
|
2025-10-13
|
F5 轮换其签名证书和加密密钥
|
修复阶段
|
2025-10-15
|
F5 向SEC 提交8-K 文件,正式披露安全事件
|
披露阶段
|
2025-10-15
|
F5 在MyF5 客户支持网站发布安全公告K000154696
|
披露阶段
|
2025-10-15
|
F5 发布2025 年10 月季度安全通知,提供多个产品补丁
|
修复阶段
|
2025-10-15
|
CISA 发布紧急指令ED-26-01,要求联邦机构采取行动
|
官方响应
|
时间轴显示,从初始发现到公开披露,F5 采取了一系列内部措施,包括聘请外部专家、确认被窃取内容、聘请外部安全公司进行代码审计和渗透测试、轮换签名证书和加密密钥等。值得注意的是,在 10 月 15 日公开披露当天,CISA 立即发布了紧急指令 ED-26-01,要求联邦机构采取行动 ,这凸显了此次事件的严重性和潜在影响。
源代码泄露风险分析
源代码泄露对 F5 及其客户构成的风险远超普通数据泄露事件。以下是对源代码泄露风险的全面分析:
风险类别
|
风险描述
|
潜在影响
|
利用难度
|
潜在影响范围
|
静态代码分析加速漏洞发现
|
攻击者可通过静态分析工具快速识别缓冲区溢出、整数溢出等内存安全问题
|
显著加速0-day 漏洞的发现,从数月缩短至数周或数天
|
中
|
全球所有使用产品的客户
|
硬编码凭证暴露
|
源代码中可能包含硬编码的密码、API 密钥或其他敏感凭证
|
未经授权访问系统和数据,可能导致完全入侵
|
低
|
依赖于凭证使用范围
|
加密密钥泄露
|
加密实现细节和密钥管理机制的泄露可能导致加密保护被绕过
|
加密通信被解密,敏感数据泄露
|
中高
|
全球所有使用加密功能的客户
|
业务逻辑缺陷暴露
|
了解产品的内部工作机制,可以发现业务逻辑中的设计缺陷
|
绕过业务规则,执行未授权操作
|
中
|
特定功能的用户
|
绕过安全控制
|
了解安全控制的实现细节,可以开发针对性的绕过技术
|
规避安全机制,获取更高权限
|
中高
|
全球所有使用产品的客户
|
供应链攻击风险
|
了解构建过程和依赖关系,可以实施更精准的供应链攻击
|
通过污染构建过程或依赖项,植入后门
|
高
|
下游依赖该组件的所有产品
|
其中,静态代码分析加速漏洞发现和硬编码凭证暴露构成了最直接的威胁。ImmuniWeb 公司 CEO Ilia Kolochenko 警告,"失窃的源代码可以极大简化网络犯罪分子背后的漏洞研究,并促进在受影响的 F5 产品中发现 0day 漏洞,这些漏洞可能在后续的 APT 攻击中被利用。"
源代码泄露带来风险包括:
-
加速漏洞发现:通过静态分析工具快速识别缓冲区溢出、整数溢出等内存安全问题,显著缩短 0-day 漏洞发现时间,从数月缩短至数周或数天。 -
绕过安全机制:了解安全控制的实现细节,开发针对性的绕过技术,规避产品内置的安全保护。 -
识别硬编码凭证:发现可能存在于代码中的硬编码密码、API 密钥或其他敏感凭证,用于未授权访问。 -
分析加密实现:研究加密算法实现细节和密钥管理机制,可能找到加密弱点或绕过方法。 -
发现业务逻辑缺陷:通过理解内部工作机制,识别设计层面的缺陷,这类问题通常难以通过黑盒测试发现。
网络设备供应商安全事件横向对比
F5 安全事件并非孤例。2025 年,多家网络基础设施供应商遭遇了类似的安全事件,表明这已成为一种趋势:
供应商
|
事件时间
|
攻击者
|
被窃取内容
|
主要受影响产品
|
漏洞严重程度
|
官方响应
|
政府行动
|
攻击目的
|
主要风险
|
F5 Networks
|
2025 年8 月
|
高度复杂的国家级威胁行为者
|
BIG-IP 产品源代码、未公开漏洞信息、客户配置数据
|
BIG-IP、F5OS、BIG-IP Next for Kubernetes 等
|
未明确指出具体CVE
|
发布补丁、提供免费EDR 工具、轮换凭证
|
CISA 发布ED-26-01 紧急指令
|
获取未来攻击"蓝图"
|
未来针对F5 产品的APT 攻击可能激增
|
Cisco
|
2025 年9 月
|
ArcaneDoor 黑客组织
|
Github/Gitlab 项目代码、客户源代码、API 令牌、证书、开发文档
|
ASA 防火墙、FTD 软件
|
CVE-2025-20333(9.9 分)、CVE-2025-20362(6.5 分)
|
发布紧急安全更新、建议审查VPN 服务配置
|
CISA 要求联邦机构修补漏洞
|
窃取敏感信息
|
供应链攻击风险、客户数据泄露
|
Ivanti
|
2025 年1-4 月
|
UNC5221(疑似国家级)
|
未明确指出源代码泄露,主要是漏洞利用
|
Connect Secure、Policy Secure、ZTA Gateways
|
CVE-2025-22457(9.0 分)、CVE-2025-0282(9.0 分)
|
发布补丁、建议工厂重置受攻击设备
|
CISA 发布了详细的缓解指南,要求相关组织采取具体行动
|
部署恶意软件(如Trailblaze、Brushfire)
|
远程代码执行、横向移动
|
SonicWall
|
2025 年1-2 月
|
未明确指出
|
未明确指出源代码泄露,主要是漏洞利用
|
SSL VPN、防火墙设备
|
高严重性身份验证绕过漏洞
|
发布公告和安全更新
|
未明确提及
|
未明确指出
|
身份验证绕过
|
这一对比表明,网络基础设施供应商或可能成为高级威胁行为者的优先目标。
F5 和 Cisco 事件均引发了 CISA 的紧急指令(分别是 ED-26-01 和 ED-25-03)。F5 事件确实涉及源代码泄露,F5 官方和 CISA 均已确认。Cisco 事件中,CISA 的紧急指令 ED-25-03 与"ArcaneDoor"漏洞利用活动有关,而非源代码泄露。"IntelBroker"相关的 Cisco 数据泄露事件源于网站配置错误,Cisco 官方否认其为系统入侵,且未确认有重要源代码泄露。
Ivanti 和 SonicWall 的事件则更多地围绕漏洞利用而非源代码泄露,但同样表明了网络基础设施供应商面临的持续威胁。特别是 Ivanti 事件中,攻击者(UNC5221)部署了专门的恶意软件(如 Trailblaze 和 Brushfire),显示了攻击者的高度组织性和技术能力。
CISA 紧急指令与官方响应
CISA 在事件披露当天(2025 年 10 月 15 日)迅速发布了紧急指令 ED-26-01,要求所有联邦文职机构立即采取行动。CISA 将此事件定义为对使用 F5 设备和软件的联邦网络构成"迫在眉睫的威胁",并警告成功利用受影响的 F5 产品可能使攻击者访问嵌入式凭证和 API 密钥,在组织网络内横向移动,窃取数据,并建立持久系统访问。
CISA 的紧急指令要求联邦机构:
-
立即识别所有 BIG-IP 硬件设备和软件实例 -
评估网络管理接口是否可从公共互联网访问 -
在 2025 年 10 月 22 日前应用最新的供应商提供的更新 -
断开并停用所有已达到支持终止的面向公众的 F5 设备 -
在 2025 年 10 月 29 日前向 CISA 报告机构网络上范围内产品的摘要 -
在 2025 年 12 月 3 日前向 CISA 报告机构网络上范围内所有产品实例的详细清单
F5 的应对措施与技术响应
面对这一重大安全事件,F5 展开了全面的应对措施:
内部加固措施
F5 采取了一系列内部加固措施,包括:
-
轮换系统凭证并加强访问控制 -
部署改进的库存和补丁管理自动化 -
增加额外的监控、检测和响应威胁的工具 -
增强网络安全架构 -
加固产品开发环境 -
加强所有软件开发平台的安全控制和监控 -
与 NCC Group 和 IOActive 合作进行代码审查和渗透测试
一个值得特别关注的细节是,F5 在公开披露前两天(10 月 13 日)已轮换其签名证书和加密密钥,这是一项关键的安全措施,旨在防止攻击者利用可能被窃取的密钥签发恶意更新。
客户支持措施
F5 为客户提供了全面的支持措施:
-
发布了 BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ 和 APM 客户端的更新 -
提供威胁狩猎指南加强检测和监控 -
发布系统加固最佳实践 -
提供免费的 CrowdStrike Falcon EDR 订阅给所有受支持的客户
处置建议框架
基于对 F5 安全事件的全面分析,以下是一个分阶段的处置建议框架,适用于所有使用 F5 产品的组织:
阶段
|
措施
|
优先级
|
难度
|
建议工具/方法
|
紧急响应(0-7 天)
|
全面清点所有F5 设备和软件实例
|
高
|
中
|
|
紧急响应(0-7 天)
|
应用最新安全补丁
|
高
|
中
|
F5 官方补丁
|
紧急响应(0-7 天)
|
隔离或断开已达到支持终止的设备
|
高
|
中
|
网络隔离
|
中期加固(7-30 天)
|
加强监控和日志收集
|
中高
|
中
|
SIEM 系统集成
|
中期加固(7-30 天)
|
轮换所有凭证和密钥
|
中高
|
中高
|
密钥管理系统
|
长期战略(30-90 天)
|
实施零信任架构
|
中
|
高
|
身份验证与授权框架
|
长期战略(30-90 天)
|
审查软件供应链安全
|
中
|
高
|
软件物料清单(SBOM)分析
|
长期战略(30-90 天)
|
建立主动威胁狩猎计划
|
中
|
高
|
EDR/XDR 解决方案
|
这一框架将应对措施分为三个时间阶段:紧急响应(0-7 天)、中期加固(7-30 天)和长期战略(30-90 天),确保组织能够系统性地应对此次安全事件带来的风险。
紧急响应措施详解
在紧急响应阶段,组织应优先执行以下高优先级任务:
-
全面清点所有 F5 设备和软件实例:确保没有遗漏任何设备或实例。特别关注可能被遗忘的测试环境或备份系统中的 F5 组件。 -
应用最新安全补丁:立即应用 F5 发布的所有安全更新,特别是针对 BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ 和 APM 客户端的更新。优先处理面向互联网的设备。 -
隔离或断开已达到支持终止的设备:对于已不再受支持的 F5 设备,应立即从生产环境中断开或隔离,以减少攻击面。如无法立即断开,应实施严格的网络隔离措施,限制这些设备的通信范围。
中期加固措施详解
完成紧急响应后,组织应在 7-30 天内实施以下中期加固措施:
-
实施网络分段:严格限制 F5 设备的网络通信,仅允许必要的业务流量。这可以有效减少攻击者在成功入侵后的横向移动能力。 -
加强监控和日志收集:将 F5 设备的日志集成到 SIEM 系统中,建立异常行为基线,设置针对可疑活动的告警机制。特别关注管理接口的访问尝试和配置更改。 -
轮换所有凭证和密钥:更新与 F5 设备相关的所有凭证,包括管理账户密码、API 密钥、SSL 证书和加密密钥。确保新凭证符合强密码策略,并考虑实施多因素认证。
长期战略措施详解
为了应对此类事件可能带来的长期风险,组织应在 30-90 天内实施以下战略措施:
-
实施零信任架构:采用"永不信任,始终验证"的原则,对所有试图访问 F5 设备的用户、设备和应用程序进行持续验证。这包括实施基于身份的访问控制、最小权限原则和持续监控。 -
审查软件供应链安全:全面了解包括 F5 产品在内及其依赖组件的安全状况。建立持续的供应链风险评估流程,及时识别和应对潜在风险。 -
建立主动威胁狩猎计划:利用 EDR/XDR 解决方案,主动搜寻网络中的潜在威胁。定期进行红队演练,测试防御措施的有效性,并持续改进安全态势。
处置建议框架
F5 安全事件的影响将远超短期技术风险,具有深远的战略意义。
对网络安全格局的影响
此次事件再次证明,攻击者已将目光转向软件供应链的上游环节,特别是网络基础设施供应商。通过攻击一个供应商,可以获得影响其所有客户的能力,实现"四两拨千斤"的效果。这种趋势将促使整个行业重新评估软件开发生命周期的安全性,并加强对开发环境的保护。
对组织安全策略的启示
F5 事件凸显了以下关键启示:
-
开发环境安全至关重要:传统上,组织将大部分安全资源投入到生产环境保护,而开发环境往往安全措施较弱。此次事件表明,开发环境已成为高价值目标,需要同等级别的保护。 -
源代码安全需要特别关注:组织需要建立专门的源代码安全计划,包括定期代码审查、静态分析、依赖组件扫描和安全编码培训。 -
零信任架构是必然趋势:在数字化时代,任何嵌入网络核心的技术都必须以"零信任"的心态进行持续验证和防御。这包括对供应商提供的更新和补丁进行验证。
对 F5 及其客户的长期影响
尽管 F5 已采取积极措施应对此次事件,但其影响将持续数年:
-
持续的安全挑战:在未来数月甚至数年内,安全研究人员很可能会监测到基于此次窃取信息所衍生的新型高级攻击。F5 及其客户需要保持高度警惕,持续监控和应对新出现的威胁。 -
信任重建过程:F5 需要通过持续的透明沟通、安全改进和第三方验证,逐步重建客户信任。这可能包括更频繁的安全审计、更透明的开发流程和更强大的客户安全支持。 -
行业标准提升:此次事件可能促使整个网络安全行业提高对软件供应链安全的标准和期望,包括更严格的开发环境安全控制、更透明的安全实践和更强大的事件响应能力。
结论
F5 安全事件是一次典型的、着眼于长远的网络间谍行动。攻击者窃取的并非立即可以变现的金融数据,而是能够持续产生威胁的"知识资本"和"武器蓝图"。这种攻击模式反映了当前网络安全威胁格局的演变,从短期利益驱动转向长期战略价值。
对于全球使用 F5 产品的组织而言,当下的要务无疑是立即响应 CISA 和 F5 的指南:检查、加固、打补丁、监控。同时,这一事件也提醒我们,在日益复杂的数字世界中,安全不再是一次性的工作,而是需要持续的警惕和适应。
F5 安全事件再次敲响了警钟:网络基础设施供应商可能成为高级威胁行为者的新兴首选目标,其软件开发生命周期的安全关乎整个数字生态的稳定。全球组织必须从这一事件中汲取教训,将软件供应链安全和开发环境防护提升到最高战略级别,以应对这一新兴的威胁格局。
点击阅读原文至ALPHA 8.3
即刻助力威胁研判