Şirket bugün, ABD’li teknoloji şirketi F5’in bir ihlale maruz kaldığını ve saldırganların BIG-IP ağ ve güvenlik ürünleri ailesiyle ilgili kaynak kodu ve güvenlik açığı bilgilerini ele geçirdiğini doğruladı.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi, BIG-IP güvenlik açıklarından sıklıkla saldırganlar tarafından yararlanıldığını ve tehdit aktörünün daha fazlasını bulmak için çalınan kodu kullanabileceği ve bilgiyi hedefli saldırılar geliştirmek için kullanabileceği korkusunun bulunduğunu belirtti.
F5 veri ihlali
Şirket, “Ağustos 2025’te, son derece gelişmiş bir ulus devlet tehdit aktörünün belirli F5 sistemlerine uzun vadeli, kalıcı erişim sağladığını ve bu sistemlerdeki dosyaları indirdiğini öğrendik” dedi.
“Tehdit aktörünü kontrol altına almak için kapsamlı önlemler aldık. Bu faaliyetlere başladığımızdan bu yana yeni bir izinsiz faaliyet görmedik ve kontrol altına alma çabalarımızın başarılı olduğuna inanıyoruz.”
F5, soruşturmaya yardımcı olmaları için CrowdStrike, Mandiant ve diğer siber güvenlik uzmanlarını çağırdı ve şu ana kadar saldırganların sızdığı sonucuna vardı:
- BIG-IP ürün geliştirme ortamından ve mühendislik bilgi yönetimi platformlarından bazı dosyaları içeren dosyalar BIG-IP kaynak kodu ve açıklanmayan güvenlik açıkları hakkında bilgi şirket BIG-IP üzerinde çalışıyordu ve
- Bilgi yönetimi platformundaki dosyalar şunları içeriyordu: Müşterilerin küçük bir yüzdesi için yapılandırma veya uygulama bilgileri (etkilenen müşteriler doğrudan bilgilendirilecektir)
Araştırmacılar, saldırganların CRM (müşteri ilişkileri yönetimi), finans, destek vaka yönetimi veya iHealth sistemlerinden verilere eriştiğine veya bu sistemlerden veri sızdırdığına dair hiçbir kanıt bulamadı.
Şu anda saldırganların, F5’in popüler NGINX web sunucusunun kurumsal düzeydeki sürümü ve ters proxy çözümü olan NGINX’in kaynak koduna veya ürün geliştirme ortamına veya F5’in Dağıtılmış Bulut Hizmetlerine veya Silverline sistemlerine eriştiğine veya bunlarla uğraştığına dair hiçbir kanıt yok.
(Elbette kanıtın yokluğu, yokluğun kanıtı değildir ve henüz başka kanıtlar da bulunabilir.)
Birleşik Krallık Ulusal Siber Güvenlik Merkezi, şu anda herhangi bir müşteri ağının F5 ağının ele geçirilmesinden etkilendiğine dair bir belirti olmadığını söylüyor.
F5’in ihlal sonrası çabaları
Müşterileri arasında güveni yeniden tesis etme ihtiyacının bilincinde olan F5, halihazırda gerçekleştirdiği eylemleri ortaya koydu: sistemleri genelinde erişim kontrolünü güçlendirdi (ve potansiyel olarak tehlikeye atılmış kimlik bilgilerini döndürdü), ağ güvenlik mimarisini geliştirdi ve ürün geliştirme ortamını güçlendirdi.
Ayrıca BIG-IP ürünleri için yazılım geliştirme hattını değerlendirmek ve BIG-IP kaynak kodunun güvenliğini incelemek üzere NCC Group ve IOActive ile de iletişime geçti. Analizleri kritik bir güvenlik açığı bulamadı ve kodun tahrif edilmediğini doğruladı. (Her iki şirket de hala kalan kod temellerini inceliyor ve F5’in yönlendirdiği şekilde satış hattı bileşenlerini oluşturuyor.)
Son olarak F5, Falcon EDR sensörlerini ve Overwatch Threat Hunting’ı BIG-IP’ye genişletmek için CrowdStrike ile ortaklık kuruyor. Şirket, “BIG-IP müşterilerine erken erişim sürümü sunulacak ve F5, desteklenen tüm müşterilere ücretsiz Falcon EDR aboneliği sağlayacak” sözünü verdi.
Müşteriler ne yapmalı?
Birleşik Krallık NCSC, bu ihlalden etkilenen ürünleri listeledi:
- BIG-IP iSeries, rSeries veya desteğin sonuna ulaşmış diğer herhangi bir F5 cihazı
- Kubernetes (BNK) / Bulutta Yerel Ağ İşlevleri (CNF) için BIG-IP (F5OS), BIG-IP (TMOS), Virtual Edition (VE), BIG IP Next, BIG-IQ ve BIG-IP Next çalıştıran tüm cihazlar
Müşterilerden, BIG-IP, F5OS, Kubernetes için BIG-IP Next, BIG-IQ ve APM istemcileri için bugün yayınlanan F5 güncellemelerini uygulamaları istendi. Ayrıca F5 sistemlerinin sağlamlaştırılması, SIEM entegrasyonu ve izleme kılavuzu için sağlanan en iyi uygulamaları uygulamak.
Şirket, “Ortamınızda tespit ve izlemeyi güçlendirmek için bir tehdit avlama kılavuzu F5 desteğinden edinilebilir” diye ekledi ancak şirket, açıklanmayan kritik veya uzaktan kod güvenlik açıkları hakkında hiçbir bilgisi olmadığını ve açıklanmayan F5 güvenlik açıklarından aktif olarak yararlanıldığının farkında olmadığını belirtti.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!