F5: atak powiązany z Chinami, wycieki kodu BIG-IP i szybkie łatki. Rządy wydają alerty

Wprowadzenie do problemu / definicja luki

F5 potwierdziło poważny incydent bezpieczeństwa: zaawansowany aktor państwowy uzyskał długotrwały dostęp do środowisk deweloperskich i platformy wiedzy inżynierskiej, skąd wykradziono m.in. fragmenty kodu źródłowego BIG-IP oraz informacje o nieujawnionych jeszcze podatnościach. W reakcji F5 opublikowało pakiet poprawek bezpieczeństwa i przeprowadziło rotację kluczy/certyfikatów podpisywania oprogramowania. Agencje rządowe USA i Wielkiej Brytanii wydały pilne ostrzeżenia i wytyczne.

W skrócie

• Atrybucja: doniesienia medialne i analiza profilu ataku wskazują na grupę powiązaną z Chinami (m.in. wątki łączone z kampanią BRICKSTORM/UNC5221).
• Ryzyko systemowe: CISA wydała Emergency Directive 26-01, nazywając zagrożenie „imminent threat” i nakazując federalnym agencjom inwentaryzację, twardnienie i szybkie łatanie BIG-IP (m.in. do 22 października 2025 r. dla części działań).
• Stan łańcucha dostaw: na ten moment brak dowodów na modyfikację procesu build/release czy backdoor w produktach, ale wyciek kodu i wiedzy o podatnościach może przyspieszyć rozwój ukierunkowanych exploitów.

Kontekst / historia / powiązania

F5 BIG-IP jest powszechnie wykorzystywany jako load balancer/WAF na brzegu sieci — stąd każdy incydent w ekosystemie F5 ma potencjał „efektu domina”. W ostatnich tygodniach Google Threat Intelligence i Mandiant opisały kampanię BRICKSTORM: bardzo długie utrzymywanie się w sieciach ofiar (średnio setki dni), celowanie w firmy technologiczne i SaaS oraz kradzież kodu w celu wyszukiwania 0-dayów. Wątki te są spójne z tym, co F5 przekazuje klientom po incydencie.

Analiza techniczna / szczegóły luki

• Vuln intel: F5 w „Quarterly Security Notification (October 2025)” wydało duży pakiet łatek na dziesiątki podatności w BIG-IP i innych produktach. Znaczna część luk to DoS (często zdalne i bez uwierzytelnienia), ale są też obejścia mechanizmów bezpieczeństwa i eskalacje uprawnień wymagające logowania.
• Artefakty ataku: napastnicy uzyskali dostęp do repozytoriów/zasobów inżynierskich, skąd pozyskali fragmenty kodu i informacje o nieopublikowanych jeszcze podatnościach. To szczególnie groźne, bo umożliwia analizę statyczną/dynamiczną pod kątem błędów logicznych i tworzenie precyzyjnych exploitów.
• Łańcuch dostaw: F5 (we współpracy z Mandiant i CrowdStrike) nie znalazło dowodów na manipulację pipeline’em build/release ani tampering kodu NGINX czy usług chmurowych F5; CISA i NCSC jednak ostrzegają, iż warstwa ryzyka pozostaje podwyższona.

Praktyczne konsekwencje / ryzyko

• Przyspieszone exploit dev: wyciek kodu i wiedzy o lukach zwiększa prawdopodobieństwo pojawienia się ukierunkowanych RCE/priv-esc bypassów na BIG-IP.
• Dostęp do kluczy/sekretów: według CISA potencjalne wykorzystanie dotkniętych produktów może dać atakującym dostęp do wbudowanych poświadczeń i kluczy API, lateral movement, eksfiltrację danych i trwałą persystencję.
• Sektor publiczny i krytyczna infrastruktura: stąd pilne dyrektywy/zalecenia USA i UK.

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiastowe łatanie: zastosuj najnowsze aktualizacje F5 (BIG-IP i inne dotknięte produkty). W organizacjach objętych reżimem federalnym USA odnieś się do ED 26-01 (deadline’y operacyjne, m.in. 22.10.2025).
2. Inwentaryzacja i segmentacja: sporządź pełną listę fizycznych/virtual BIG-IP, zwłaszcza z interfejsem do Internetu; egzekwuj zasadę najmniejszych uprawnień na kontach administracyjnych.
3. Hardening i ekspozycja: ogranicz dostęp do TMUI/zarządzania (VPN/jump hosts), włącz SSH key-only, wyłącz nieużywane moduły, zweryfikuj SNAT/irule/ASM policy pod kątem misconfigów. (Dobre praktyki wynikają z wytycznych CISA/NCSC i doświadczeń z incydentami na urządzeniach brzegowych.)
4. Rotacja sekretów: po aktualizacji zmień hasła, klucze i certyfikaty powiązane z BIG-IP (w tym MGT/API), zweryfikuj zaufanie do łańcuchów certyfikatów — F5 przeprowadziło rotację własnych kluczy podpisywania.
5. Threat hunting pod BRICKSTORM/UNC5221: skanuj pod kątem technik długotrwałej persystencji, nietypowych jobów/cronów, artefaktów tunelowania i anomalii ruchu wychodzącego; porównaj baseline’y konfiguracji i logów z ostatnich 12+ miesięcy. (Mapowanie do kontekstu BRICKSTORM i TTPs).
6. Monitoring i telemetria: włącz/dotwardź logowanie LTM/TMM, ASM/Adv WAF, APM; wysyłaj do SIEM, wprowadź reguły korelacyjne na anomalie cookie/session oraz błędy TMUI.

Różnice / porównania z innymi przypadkami

W odróżnieniu od klasycznych kampanii na urządzenia brzegowe (np. wyłącznie exploit znanej luki TMUI), tu wektor ryzyka wynika z kompromitacji producenta, wycieku kodu i wiedzy o nieopublikowanych lukach. To przybliża scenariusz do głośnych incydentów supply-chain (SolarWinds, 3CX), choć dotychczas nie ma dowodów na zainfekowane buildy/aktualizacje F5.

Podsumowanie / najważniejsze wnioski

• Incydent F5 ma wysoki ciężar systemowy: BIG-IP stoi na styku sieci, a wyciek kodu i informacji o lukach zwiększa presję czasową na zespoły.
• Łataj, utwardzaj, rotuj sekrety i poluj na persystencję — wprost według ED 26-01 i wskazówek NCSC.
• Wątek BRICKSTORM/UNC5221 wzmacnia hipotezę o długotrwałej, cichej infiltracji nakierowanej na pozyskiwanie kodu i wiedzy, co może owocować exploitami „szytymi na miarę” w najbliższych tygodniach.

Źródła / bibliografia

1. SecurityWeek: „F5 Hack: Attack Linked to China, BIG-IP Flaws Patched, Governments Issue Alerts” (16 października 2025). (SecurityWeek)
2. CISA – Emergency Directive 26-01: Mitigate Vulnerabilities in F5 Devices (15 października 2025). (CISA)
3. NCSC UK – „Confirmed compromise of F5 network” (15 października 2025). (NCSC)
4. Google Threat Intelligence – „BRICKSTORM espionage campaign” (24 września 2025). (Google Cloud)
5. Reuters – „Breach at F5 blamed on China, Bloomberg reports” (16 października 2025). (Reuters)