サイバーセキュリティ企業F5は、2025年8月9日に検知された侵害で盗まれたBIG-IPの脆弱性に対処するためのセキュリティアップデートを公開しました。
同社は水曜日、米国証券取引委員会(SEC)への提出書類で、国家支援のハッカーがシステムに侵入し、未公開のBIG-IPセキュリティ脆弱性に関する情報やソースコードを盗み出したことを明らかにしました。
F5は、脅威アクターが未公開の脆弱性を攻撃に利用した証拠はなく、これらの脆弱性が公開された証拠もまだ見つかっていないと付け加えました。
本日、F5は44件の脆弱性に対応するパッチ(侵害で盗まれたものを含む)をリリースし、顧客にできるだけ早くシステムをアップデートするよう呼びかけました。F5はBleepingComputerに対し「本日のセキュリティアップデートは今回のインシデントによる影響にも対応している」と認めました。
「BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ、APMクライアント向けのアップデートが現在利用可能です。未公開の重大な脆弱性やリモートコード実行の脆弱性については把握していませんが、できるだけ早くBIG-IPソフトウェアをアップデートすることを強く推奨します」と同社は述べています。
「ソースコードやビルド・リリースパイプラインを含むソフトウェアサプライチェーンの改ざんの証拠はありません。[..] また、未公開のF5脆弱性が積極的に悪用されているという認識もありません。」
F5はまた、サイバー攻撃からF5環境を保護するためのガイダンスを発表し、その中には2025年10月のセキュリティアップデートのリリースも含まれています。
同社は管理者に対し、BIG-IPイベントストリーミングをセキュリティ情報・イベント管理(SIEM)ソフトウェアに有効化し、リモートsyslogサーバーを設定し、ログイン試行の監視を行うことで、管理者ログイン、認証失敗、権限や設定変更に関する可視性とアラートを強化するよう推奨しました。
連邦機関にBIG-IPパッチの適用を命令
水曜日、CISAはED 26-01緊急指令を発表し、連邦民間行政機関(FCEB)に対して、2025年10月31日までに最新のセキュリティアップデートを適用し、F5ハードウェアおよびソフトウェアアプライアンスを保護するよう命じました。
米国サイバーセキュリティ庁はまた、サポート終了となったすべてのパブリック向けF5デバイスを切断・廃止するよう連邦機関に指示しました。
「CISAは連邦民間行政機関(FCEB)に対し、F5 BIG-IP製品の在庫を確認し、ネットワーク管理インターフェースがパブリックインターネットからアクセス可能か評価し、F5からのアップデートを適用するよう指示しています」とCISAは述べました。
脆弱なBIG-IPアプライアンスが悪用されると、攻撃者は認証情報やAPIキーを盗み、標的ネットワーク内を横移動し、機密データを盗み、侵害されたデバイスに持続的なアクセスを確立することが可能になります。
BIG-IPの脆弱性は、国家支援グループやサイバー犯罪グループの両方にとって高価値な標的であり、これまでにも内部サーバーのマッピング、データの密かなる窃取、ネットワーク内デバイスの乗っ取り、データワイパーの拡散、企業ネットワークへの侵入などに悪用されてきました。
F5はフォーチュン500に名を連ねるテクノロジー大手であり、世界中で23,000社以上、フォーチュン50企業のうち48社にサイバーセキュリティ、クラウド管理、アプリケーションデリバリーネットワーク(ADN)サービスを提供しています。
