|
|
|
|
||||||
F5安全事件:披露声明
以下消息将发布在MyF5.com上,并通过电子邮件发送给客户
我们想与您分享有关我们为解决F5的安全事件而采取的步骤以及我们为保护客户所做的持续努力的信息。
2025年8月,我们了解到一个高度复杂的民族国家威胁行为者对某些F5系统保持长期、持久的访问权限并从中下载文件。这些系统包括我们的BIG-IP产品开发环境和工程知识管理平台。我们已采取广泛行动遏制威胁行为者。自从开始这些活动以来,我们没有看到任何新的未经授权的活动,我们相信我们的遏制努力是成功的。
针对这一事件,我们正在采取积极主动的措施来保护我们的客户,并加强我们的企业和产品环境的安全态势。我们聘请了CrowdStrike、Mandiant和其他领先的网络安全专家来支持这项工作,我们正在积极与执法部门和我们的政府合作伙伴进行接触。
我们发布了BIG-IP、F5OS、Kubernetes的BIG-IP Next、BIG-IQ、APM客户端的更新。更多信息可在我们的2025年10月季度安全通知中找到。我们强烈建议尽快更新到这些新版本。
我们所知道的
此时,基于我们对可用日志的调查:
•我们已经确认,威胁行为者从我们的BIG-IP产品开发环境和工程知识管理平台中泄露了文件。这些文件包含我们的一些BIG-IP源代码和有关我们在BIG-IP中处理的未公开漏洞的信息。我们不知道有未公开的关键或远程代码漏洞,我们也不知道有任何未公开的F5漏洞被主动利用。
•我们没有证据表明从我们的CRM、财务、支持案例管理或iHealth系统访问或泄露数据。然而,我们的知识管理平台的一些被泄露的文件包含了一小部分客户的配置或实现信息。我们目前正在审查这些文件,并将酌情直接与受影响的客户进行沟通。
•我们没有证据表明我们的软件供应链发生了修改,包括我们的源代码以及我们的构建和发布管道。该评估已通过领先的网络安全研究公司NCC Group和IOActive的独立审查得到验证。
•我们没有证据表明威胁行为者访问或修改了NGINX源代码或产品开发环境,也没有证据表明他们访问或修改了我们的F5分布式云服务或Silverline系统。
你能做什么
我们现在的首要任务是帮助您加强和保护您的F5环境,以抵御此次事件带来的风险。我们正在提供一些资源来支持您可以采取的行动:
•更新BIG-IP软件。Kubernetes的BIG-IP、F5OS、BIG-IP Next、BIG-IQ和APM客户端的更新现已推出。虽然我们不知道未公开的关键或远程代码执行漏洞,我们强烈建议尽快更新您的BIG-IP软件。有关这些更新的更多信息,请参阅季度安全通知。
•威胁情报。可从F5支持处获得加强您所在环境中的检测和监控的威胁狩猎指南。
•以核查强化指导。我们发布用于硬化您的F5系统的最佳实践,并为F5 iHealth诊断工具添加了自动硬化检查。这一工具将揭示差距,确定行动的轻重缓急,并提供补救指导的链接。
•SIEM整合与监测指导。我们建议为您的SIEM启用BIG-IP事件流式传输,并提供syslog配置(KB13080)和登录监控的分步说明
|
1
|
||
|
|
|
|
||||||
尝试(KB13426)。这将增强您对管理员登录、身份验证失败以及权限和配置更改的可见性和警报。
我们的全球支持团队随时可以提供协助。您可以打开MyF5支持案例或直接联系F5支持,以获得更新您的BIG-IP软件、实现这些步骤中的任何一个或解决您可能遇到的任何问题的帮助。我们将不断更新这个页面,提供新的信息和资源。
我们在做什么
我们已经采取并将继续采取重要措施,通过补救这一威胁和加强我们核心企业和产品基础设施的安全性来保护客户。
自启动我们的事件响应工作以来,我们有:
•在我们的系统中轮换凭据并加强访问控制。
•部署了改进的库存和补丁管理自动化,以及额外的工具,以更好地监控、检测和应对威胁。
•对我们的网络安全架构实施了增强。
•强化了我们的产品开发环境,包括加强对所有软件开发平台的安全控制和监控。
我们正在采取额外行动,以进一步加强我们产品的安全性:
•在NCC Group和IOActive的支持下,继续对我们的产品进行代码审查和渗透测试,以识别和修复我们代码中的漏洞。
•与CrowdStrike合作,将Falcon EDR传感器和Overwatch Threat Hunting扩展到BIG-IP,以获得更多可见性并加强防御。BIG-IP客户可以使用早期访问版本,F5向支持的客户提供免费的Falcon EDR订阅,有效期至2026年10月14日。
你的信任很重要。我们知道这是每天都能赚到的,尤其是出问题的时候。我们对发生这一事件及其可能给您造成的风险深表遗憾。我们致力于从这一事件中吸取教训,并与更广泛的安全界分享这些经验教训。
|
2
|
||