Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Devlet
Yakın Risk Halinde Federal Kurumlara F5 Cihazlarını Düzeltme veya Kullanımdan Kaldırma Emri Verildi
Chris Riotta (@chrisriotta) •
15 Ekim 2025
ABD siber savunma kurumu Çarşamba günü yaptığı açıklamada, bir ulus-devlet siber tehdit aktörünün hükümetin kapatılması sırasında federal ağlar için “yakın bir risk” oluşturduğu konusunda uyardı ve önemli operasyonlar durmaya devam ederken kurumlar arasındaki savunmasız cihazları hedef aldı.
Ayrıca bakınız: 2024 Dolandırıcılık Analizleri Raporu
Siber Güvenlik ve Altyapı Güvenlik Ajansı Çarşamba günü bu yıl üçüncü acil durum direktifini yayınladı ve bir ulus devlet aktörünün F5’in iç sistemlerini ihlal ettiği ve BIG-IP kaynak kodunun bazı kısımları ve özel güvenlik açıkları oluşturmak için kullanılabilecek açıklanmayan güvenlik açığı ayrıntıları da dahil olmak üzere hassas dosyaları çaldığı konusunda uyarıda bulundu. CISA Siber Güvenlik Direktör Yardımcısı Nick Andersen’e göre, tehdit aktörü “federal ağları hedefliyor” ve “hedeflenen bilgi sistemlerinin tamamen tehlikeye girmesine” yol açabilecek savunmasız cihazları tarıyor.
Andersen gazetecilere, CISA ve diğer kurumların direktifte belirtilen acil durum eylemlerini gerçekleştirmek için yeterli personele sahip olup olmadığı sorulduğunda, “Hükümetin kapatılması federal operasyonları aksatabilir, ancak temel işlevleri sürdürüyoruz” dedi. Kendisi, Cuma günü yayınlanan en son yürürlükteki indirim turunun, kurumların yeni yayımlanan satıcı güncellemelerini birden fazla F5 ürününde uygulamasını gerektiren direktif üzerinde çalışan personeli etkilemediğini söyledi.
Andersen, şu anda bu istismar kullanılarak federal ağların ihlal edildiğine dair hiçbir kanıt bulunmadığını da sözlerine ekledi. Şirket ayrıca Çarşamba günü ABD Menkul Kıymetler ve Borsa Komisyonu’na sunduğu bir dosyada “çevreleme eylemlerinin başarılı olduğuna inandığını” söyledi.
Acil durum direktifi, CISA’nın önemli bir operasyonel gerginlikle karşı karşıya kaldığı, hükümetin kapatılması ve siber güvenlik personelini İç Güvenlik Bakanlığı genelinde siber olmayan görevlere çeken iç atamalar nedeniyle personelin yalnızca %35’inin işte kaldığı bir dönemde geldi. Mevcut ve eski yetkililer, önemli programların duraklatılması, üst düzey yeteneklerin ayrılması ve hayati önem taşıyan siber girişimlerde görev sürekliliğini sağlamaktan kimin sorumlu olduğuna dair belirsizliğin artması nedeniyle kurumun kritik tehditlere yanıt verme kapasitesinin tehlikeli derecede zayıf olduğunu belirtiyor (bkz:: Kapatma ve Artan Siyasi Tehditlerin Ortasında CISA Karmaşa İçinde).
ABD’li yetkililer ve F5 herhangi bir ulus devleti doğrudan suçlamamış olsa da güvenlik analistleri, bilgisayar korsanlarının hassas sistemlere uzun vadeli ve kalıcı erişim elde etmeyi amaçlayan, Çin’den gelen son derece gelişmiş, hükümet destekli bir birim olduğuna inanıyor. Uygulama güvenliği ve çoklu bulut yönetimi firmasının 1.000’den fazla kurumsal müşterisi bulunuyor ve tüm Fortune 500 şirketlerinin %85’inden fazlasına hizmet sağlıyor.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi de Çarşamba günü yaptığı açıklamada, F5 güvenlik açığının, tehdit aktörlerinin mantıksal kusurların ve güvenlik açıklarının belirlenmesi için statik ve dinamik analizler gerçekleştirirken firmanın cihazlarından ve yazılımlarından yararlanmasına olanak verebileceği konusunda uyardı. Merkez, başarılı bir ihlalin bilgisayar korsanlarının “bir kuruluşun ağında yanal olarak hareket etmesine, verileri sızdırmasına ve kalıcı sistem erişimi kurmasına” olanak verebileceğini söyledi.
Şirket, ilk olarak ağustos ayında iç sistemlerinde izinsiz aktivite tespit ettiğini ve dışarıdan siber güvenlik uzmanlarının yardımıyla derhal bir soruşturma başlattığını söyledi. F5, bir ulus devlet aktörünün, özel kaynak kodu ve güvenlik açığı bilgileri de dahil olmak üzere belirli kurumsal kayıtlara eriştiğini ve bunları sızdırdığını belirledi ancak o sırada hangi ürünlerin etkilendiğini belirtmedi.
Yasal düzenlemeye göre saldırganlar aynı zamanda dahili dosya paylaşımlarında ve e-posta gelen kutularında saklanan müşteri ve çalışan bilgilerine de erişti ve bu da F5’in kolluk kuvvetlerine bildirimde bulunmasına ve müşterilerin etkilenmesine neden oldu. CISA yetkilileri gazetecilere, çalınan güvenlik açığı verilerinin muhtemelen aktörün yama yapılmamış federal sistemleri ihlal etmeyi amaçlayan son derece özel güvenlik açıkları oluşturmasına olanak sağladığını söyledi.
Ajansların, sistemleri genelinde dağıtılan tüm F5 BIG-IP donanım ve yazılım ürünlerini tanımlaması, halka açık yönetim arayüzlerinin internete açık olup olmadığını belirlemesi ve 22 Ekim’e kadar satıcı yamalarını uygulaması gerekiyor. Güncelliğini yitirmiş veya desteği sona eren tüm cihazların bağlantısı kesilmeli veya tamamen hizmet dışı bırakılmalı ve 31 Ekim’e kadar ek yama ve sağlamlaştırma adımları atılmalıdır.
CISA ayrıca kurumlara hem ilk bulguları hem de tam ürün envanterini sırasıyla 29 Ekim ve 3 Aralık tarihlerine kadar raporlamaları talimatını veriyor. Ajans, herhangi bir gecikmeli hafifletme işleminin sistemleri kalıcı uzlaşmalara açık bırakabileceğini söyledi.