研究者たちは、国家がF5の内部システムに対して長期にわたる攻撃を行い、盗み出した数十件の未公開F5脆弱性についてはあまり懸念していません。しかし、広く利用されているベンダーの内部ネットワークから機密情報が盗まれた今回の事件は、過去のスパイ活動を目的とした攻撃と類似しており、今後長期的な影響を及ぼす可能性があります。
F5は8月9日に攻撃を認識し、10月15日に公表しましたが、「高度に洗練された国家の脅威アクター」がBIG-IPのソースコードの一部と、当時社内で対応中だった44件の脆弱性の詳細を盗み出したと述べています。
F5は、未公開またはリモートコード実行の脆弱性については把握しておらず、また今回の攻撃でアクセスされた脆弱性が実際に悪用されている事例も認識していないとしています。
「ここで自分にジンクスをかけたくはありませんが、現時点ではこれらの脆弱性について特に大きな懸念はありません」とVulnCheckのリサーチ担当副社長、ケイトリン・コンドン氏はCyberScoopに語りました。「例えば中程度の脆弱性の1つが、チェーン攻撃や、資格情報や他の方法でアクセスを得た攻撃者によって悪用される可能性はありますが、特にリモートでの大規模な悪用についてはあまり心配していません。」
Censysのセキュリティリサーチャー、ヒマジャ・モサラム氏もこの見解に同意し、攻撃でアクセスされた未公開の脆弱性には、緊急対応が必要なクリティカルなものは含まれていないと付け加えました。
研究者たちは、F5の欠陥の多く、特に高深刻度とされるものの大半がサービス拒否(DoS)脆弱性であると指摘しています。より広い視点で見ると、脆弱性の多くはプロトコルに影響を与えるものであり、内部システムへのアクセスなしには容易に到達できません。
Flashpointのアナリストは、CVSSスコア8.5の4つの脆弱性を最も影響が大きい可能性があるものとして特定しました。これにはCVE-2025-59483、CVE-2025-61958、CVE-2025-59481、CVE-2025-59868が含まれます。これら4つの欠陥はいずれも認証が必要なため、攻撃者が悪用するには既に足がかりを得ている必要があります。
外部からのリスク評価には、攻撃者が検知を回避するための概念実証(PoC)エクスプロイトコードや手法など、追加情報があれば有益だとコンドン氏は述べています。特にそうした情報もF5のシステムから盗まれていた場合はなおさらです。
F5は、CrowdStrikeが作成した侵害の兆候(IoC)および一般的な脅威ハンティングガイドを、顧客の要望に応じて提供していると述べています。
F5が最初に攻撃を報告してからほぼ1カ月が経過し、影響は限定的にとどまっているようですが、同社が企業や政府において重要な役割を果たしていることから、懸念は依然として残っています。
「一般的にF5のシステムはビジネスクリティカルで、攻撃者から標的にされやすいですし、F5はしばらくの間、深刻なクリティカル脆弱性で大きな被害を受けたことはありません」とコンドン氏は述べています。「F5は脆弱性への対応をしっかり行っており、『非常に堅牢な脆弱性開示・対応プログラム』を維持しています。」
ソースコードの窃取はさらなる問題を引き起こす可能性
顧客や防御側は、国家アクターが盗み出した未公開脆弱性については比較的心配していないかもしれませんが、BIG-IPのソースコードが盗まれたことは、はるかに深刻な問題を引き起こす可能性があります。
モサラム氏は、ソースコードの窃取が最も懸念されるのは、攻撃者がそれを精査することでゼロデイ攻撃を特定または開発できるためだと述べています。
「この侵害の側面は、より長期的かつ重大なサプライチェーンリスクであり、その影響を私たちが理解できるのは今後になるかもしれません」と彼女は付け加えました。「最も公に発見されやすい資産を積極的に保護することが重要です。」
当局も攻撃の潜在的な影響について同様の見解を示しており、これをテクノロジーサプライチェーンの重要な要素を標的とした広範なキャンペーンの一部と位置づけています。ベンダーに対するサイバースパイ攻撃は、連邦機関や重要インフラ事業者、政府関係者などへの波及効果をもたらすと、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)のサイバーセキュリティ担当副長官ニック・アンダーセン氏は先月の記者会見で述べました。
国家アクターは主に、標的となった被害者のネットワーク内で持続的なアクセスを維持し、システムを人質に取ったり、将来の攻撃を仕掛けたり、機密情報を収集したりすることを目的としていますとアンダーセン氏は述べています。
脅威グループはソースコードを様々な方法で武器化できますが、より大きな視点では、特定のソフトウェアがどのように構築され、どのように動作するかを理解するのにも役立つとコンドン氏は述べています。
「これは単なる強奪型の攻撃ではありませんでした。彼らの動機が何かは必ずしも分かりませんが、ソースコードへのアクセスがあれば、より効果的な攻撃を開発できるのは確かです」とコンドン氏は付け加えました。
F5は、NCC GroupおよびIOActiveと協力し、盗まれたBIG-IPソースコードの不正使用の可能性について調査を続けているとしていますが、これまでのところ懸念すべき事実は見つかっていないと主張しています。
「私たちのソフトウェアサプライチェーン、ソースコード、ビルドおよびリリースパイプラインを含め、改ざんの証拠はありません」とF5の最高情報セキュリティ責任者クリストファー・バーガー氏はブログ記事で述べています。
ベンダーのシステムに対する持続的かつ根深い攻撃は、長期戦であり、その影響はしばしば何年も続きます。これにより、顧客が何を心配すべきか判断するのが難しくなり、影響を完全に理解するには想像力も必要です。
「現時点ではF5侵害がどのような結果をもたらすか、過去の事例と比べてどうなるかは分かりません」とモサラム氏は述べています。「盗まれたコードが何らかの戦略的な悪用に使われることを想定し、積極的に監視するのは決して被害妄想ではありません。」
翻訳元: https://cyberscoop.com/f5-vulnerabilities-theft-muted-concerns/
