Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) sürgősségi irányelvet adott ki a szövetségi polgári ügynökségek számára, amelyben elrendeli az F5-környezetek azonnali biztonságba helyezését.
Az intézkedésre azért került sor, mert államilag támogatott fenyegető szereplők kompromittálták az F5 rendszereit, és a BIG-IP forráskódjának egy részét letöltötték, ezzel közvetlen fenyegetést jelentve minden olyan hálózatra, ahol F5-eszközök futnak.
„A támadó hozzáférése az F5 tulajdonosi forráskódjához technikai előnyt biztosíthat számára, hogy kiaknázza az F5 eszközeiben és szoftvereiben rejlő sebezhetőségeket.”
– CISA közlemény
🎯 Az érintett termékek köre
Hardver:
- BIG-IP iSeries
- rSeries
- minden F5-eszköz, amely elérte az élettartam-végét (EOL/EOS)
Szoftver:
- BIG-IP (F5OS, TMOS)
- Virtual Edition (VE)
- BIG-IP Next
- BIG-IQ
- BNK / CNF
🔎 Háttér: az F5 rendszerek feltörése
Egy nemzetállami hátterű támadó kompromittálta az F5 hálózatát, és érzékeny fájlokat szivárogtatott ki, köztük a BIG-IP forráskód egy részét és sérülékenységi információkat.
Ez a hozzáférés lehetővé teheti a támadónak:
- a kód statikus és dinamikus elemzését,
- logikai hibák és zero-day sérülékenységek azonosítását,
- valamint célzott exploitok fejlesztését.
Az F5 szerint a támadó tartós, hosszan fennálló hozzáférést tartott fenn a hálózatban.
A vállalat az esetet 2025. augusztus 9-én fedezte fel, és azonnal tájékoztatta az SEC-et (8-K jelentésben).
„Kiterjedt intézkedéseket tettünk a támadó visszaszorítására, és nem észleltünk újabb jogosulatlan aktivitást.”
– F5 közlemény
Az F5 szerint a kiszivárgott fájlok egy része ügyfélspecifikus konfigurációs részleteket is tartalmazott, az érintetteket közvetlenül értesítik.
Nincs bizonyíték arra, hogy a támadók hozzáfértek volna a CRM-, pénzügyi-, iHealth- vagy NGINX-környezethez.
A vállalat Google Mandiant és CrowdStrike csapatokat vont be, teljes jelszórotációt, hozzáférés-erősítést és hálózati megfigyelést vezetett be.
⚠️ Kockázatértékelés
A CISA szerint a támadók hozzáférése elfogadhatatlan kockázatot jelent a szövetségi hálózatokra, mivel:
- beágyazott hitelesítő adatokat és API-kulcsokat szerezhetnek,
- laterális mozgást hajthatnak végre,
- adatokat szivárogtathatnak,
- és tartós hozzáférést alakíthatnak ki az érintett rendszerekben.
Ez akár teljes hálózati kompromittációhoz is vezethet.
🧭 Az irányelv hatálya
A direktíva minden olyan szövetségi informatikai rendszerre vonatkozik, amely:
- ügynökségi adatokat gyűjt, feldolgoz, továbbít vagy tárol,
- más szervezet által az ügynökség nevében működtetett infrastruktúrán fut,
- FedRAMP-engedélyezett vagy nem FedRAMP környezetben üzemel.
Az ügynökségeknek nyilvántartást kell vezetniük a külső környezetben hosztolt rendszereikről, és biztosítaniuk kell a megfelelést az utasításnak.
🧩 Kötelező intézkedések
1️⃣ Eszközleltár
Azonnal azonosítani kell:
- minden BIG-IP hardvereszközt,
- valamint az összes F5OS / TMOS / VE / Next / BIG-IQ / BNK-CNF példányt.
2️⃣ Publikus BIG-IP eszközök megerősítése
- Fel kell mérni, hogy a menedzsment interfész elérhető-e közvetlenül az internetről.
- Ha igen → követni kell a CISA BOD 23-02 irányelvet az internet-exponált admin interfészek leválasztására.
3️⃣ Frissítések telepítése (határidő: 2025. október 22.)
Telepíteni kell a legújabb gyártói frissítéseket az alábbi termékekre:
- F5OS
- BIG-IP TMOS
- BIG-IQ
- BNK / CNF
Tipp: minden frissítés előtt ellenőrizni kell az F5 által közzétett MD5 ellenőrzőösszegeket.
Ha a menedzsment interfész csak belső hálózatról/jump boxon keresztül érhető el, az ügynökség saját frissítési ütemezését követheti.
4️⃣ További frissítések (határidő: 2025. október 31.)
A fennmaradó F5-eszközöket frissíteni kell a legújabb patch-re, és alkalmazni az F5 által kiadott megerősítési útmutatót.
5️⃣ Folyamatos frissítések
Minden új frissítést a kiadást követő 7 napon belül telepíteni kell az F5-portálról.
6️⃣ Élettartam-végű eszközök lekapcsolása
Minden EOL/EOS státuszú, publikus F5-eszközt leválasztani és leszerelni.
Ha ez nem lehetséges:
- jelenteni kell a kritikus működési indokot,
- és benyújtani a leszerelési ütemtervet a CISA-nak.
7️⃣ Cookie-szivárgás elleni védelem
Ha a CISA cookie-szivárgásról értesít, az ügynökségnek azonnal alkalmaznia kell a megadott mitigációs útmutatót.
📅 Jelentési kötelezettségek
- 2025. október 29. 23:59 ET-ig: összefoglaló jelentés a CISA-nak az érintett termékekről.
- 2025. december 3. 23:59 ET-ig: részletes leltárjelentés minden F5-példányról.
🧠 Összegzés
Az F5 forráskód-szivárgás komoly nemzetbiztonsági kockázat, mivel a támadók mély technikai betekintést kaptak a BIG-IP működésébe.
A CISA ezért rendkívüli védelmi intézkedéseket ír elő az ügynökségek számára, hogy megakadályozzák:
- az adatexfiltrációt,
- a hálózati oldalmozgást,
- és a tartós kompromittálást.
Aki F5 eszközt vagy szoftvert használ – akár kormányzati, akár vállalati környezetben –, haladéktalanul hajtsa végre az ajánlott lépéseket.
