Güvenlik ve uygulama dağıtım sağlayıcısı F5, bugün bir SEC dosyasında ulus devlet tehdit aktörünün şirketin en kritik ortamlarından bazılarına “uzun vadeli, kalıcı erişime” sahip olduğunu açıkladı.
SEC 8-K dosyasında, “son derece sofistike bir ulus-devlet tehdit aktörünün” yaptığı saldırının 9 Ağustos’ta tespit edildiği ancak ABD Adalet Bakanlığı’nın “kamuya açıklamanın gecikmesinin gerekli olduğuna karar vermesi” nedeniyle şu ana kadar rapor edilmediği belirtildi.
F5, ihlali tespit ettikten sonra olay müdahale süreçlerini etkinleştirdi ve “tehdit aktörünü kontrol altına almak için kapsamlı eylemler” gerçekleştirdi.
F5, tehdit aktörünün “BIG-IP ürün geliştirme ortamı ve mühendislik bilgi yönetimi platformu da dahil olmak üzere belirli F5 sistemlerine uzun vadeli, kalıcı erişim sağladığını belirledi. Bu erişim aracılığıyla, bazıları Şirketin BIG-IP kaynak kodunun belirli bölümlerini ve BIG-IP’de üzerinde çalıştığı açıklanmayan güvenlik açıklarına ilişkin bilgileri içeren belirli dosyalara sızıldı.”
Şirket, müşterilere ve yatırımcılara olayın kontrol altına alındığına ve başka bir izinsiz faaliyete dair hiçbir kanıt bulunmadığına dair güvence vermeye çalıştı.
SEC dosyasında, “Açıklanmayan herhangi bir kritik veya uzaktan kod güvenlik açığından haberdar değiliz ve açıklanmayan herhangi bir F5 güvenlik açığından aktif olarak yararlanıldığının farkında değiliz” denildi. “Kaynak kodumuz ve oluşturma ve yayınlama işlem hatlarımız da dahil olmak üzere yazılım tedarik zincirimizde değişiklik yapıldığına dair hiçbir kanıtımız yok. Bu değerlendirme, önde gelen siber güvenlik araştırma firmaları tarafından yapılan bağımsız incelemelerle doğrulandı.”
F5 hisseleri (NASDAQ:FFIV) günün en düşük seviyesinde %5’ten fazla düştükten sonra son işlemlerde %4 kayıp yaşadı.
CISA F5 İhlal Kılavuzunu Yayınladı
Yine bugün, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal sivil kurumlara, onları F5 ortamlarının güvenliğini sağlamaya yönlendiren bir acil durum direktifi yayınladı ve “tehdit aktörünün F5’in özel kaynak koduna erişiminin, bu tehdit aktörüne F5 cihazlarını ve yazılımlarını kullanma konusunda teknik bir avantaj sağlayabileceğini” belirtti.
watchTowr Proaktif Tehdit İstihbaratı Başkanı Ryan Dewhurst, bugün yaptığı açıklamada, 13 Ekim’de F5’in “sessizce imza sertifikalarını ve kriptografik anahtarlarını değiştirdiğini duyurduğunda bir şeylerin ters gittiğinin göründüğünü” söyledi; bunlar F5 tarafından üretilen yazılımın yasal ve değiştirilmemiş olduğunu kanıtlamak için kullanıldı. Bu rutin bir güncelleme değil. Satıcılar bunu yalnızca bir şeyler çok ters gittiğinde yapıyor. Bugün F5 tam olarak bunu doğruladı.”
Dewhurst, “Önceki anahtarlarla imzalanan eski yazılımlar artık daha yakından incelenmeyi gerektirebilir” diye ekledi. “Ürünleri kurumsal ve devlet ağlarının derinliklerinde yer alan bir satıcı için bu ciddi bir güven ihlalidir. Güvenliği ihlal edilen bu anahtarlar çalındıysa ve F5 bunu göz ardı etmediyse, ‘F5’ tarafından imzalanan kötü amaçlı yazılım güncellemeleri gerçeğinden ayırt edilemez olabilir.”
F5, CRM, finans, destek vaka yönetimi veya iHealth sistemleri verilerine veya NGINX, F5 Dağıtılmış Bulut Hizmetleri ve Silverline ortamlarına erişildiğine dair hiçbir kanıt olmadığını söyledi.
F5, “Ancak, bilgi yönetimi platformumuzdan sızdırılan dosyalardan bazıları, müşterilerin küçük bir yüzdesi için yapılandırma veya uygulama bilgileri içeriyordu” dedi. “Şirket şu anda bu dosyaların içeriğini inceliyor ve etkilenen müşterilerle uygun şekilde doğrudan iletişim kuracak.”
F5 Müşteri İhlali Kılavuzunu Yayınladı
SEC başvurusunun bir parçası olarak F5, bugün müşterilere gönderilen bir açıklama beyanını da paylaştı.
Açıklamada, şirketin “müşterilerimizi korumak ve kurumsal ve ürün ortamlarımızın güvenlik duruşunu güçlendirmek için proaktif önlemler aldığı” belirtildi. Bu çalışmayı desteklemek için CrowdStrike, Mandiant ve diğer önde gelen siber güvenlik uzmanlarını görevlendirdik ve kolluk kuvvetleri ve hükümet ortaklarımızla aktif olarak iletişim halindeyiz.”
F5, BIG-IP, F5OS, Kubernetes için BIG-IP Next, BIG-IQ ve APM istemcileri için güncellemeler yayınladı. Şirket herhangi bir güvenlik açığının farkında olmasa da, “Bu yeni sürümlere mümkün olan en kısa sürede güncelleme yapmanızı şiddetle tavsiye ediyoruz.”
Şirket ayrıca bir tehdit avlama kılavuzu, doğrulamalı güçlendirme kılavuzu, SIEM entegrasyonu ve izleme kılavuzu yayınladı ve F5 iHealth Teşhis Aracına otomatik güçlendirme kontrolleri ekledi. F5, “Bu araç boşlukları ortaya çıkaracak, eylemleri önceliklendirecek ve iyileştirme rehberliğine bağlantılar sağlayacak” dedi.
Olaydan bu yana şirket, sistemler arasında kimlik bilgilerini döndürdü ve erişim kontrollerini güçlendirdi, daha iyi envanter ve yama yönetimi otomasyonu uyguladı, daha iyi algılama ve yanıt ekledi, ağ güvenlik mimarisini iyileştirdi ve ürün geliştirme ortamını güçlendirdi.
Diğer adımlar arasında, hem NCC Group hem de IOActive’in desteğiyle devam eden kod incelemesi ve penetrasyon testleri ile daha fazla görünürlük ve savunmaları güçlendirmek için CrowdStrike Falcon EDR sensörleri ve Overwatch Threat Hunting’ın BIG-IP’ye genişletilmesi yer alıyor. BIG-IP müşterileri için erken erişim sürümü mevcut ve F5, desteklenen müşterilere 14 Ekim 2026’ya kadar ücretsiz Falcon EDR aboneliği sağlıyor.
F5, “Güveniniz önemlidir” diye tamamladı. “Bunun her gün kazanıldığını biliyoruz, özellikle de işler ters gittiğinde. Bu olayın meydana gelmesinden ve sizin için yaratabileceği riskten dolayı gerçekten üzgünüz. Bu olaydan dersler çıkarmaya ve bu dersleri daha geniş güvenlik topluluğuyla paylaşmaya kararlıyız.”