شرکت آمریکایی F5 Networks اخیراً گزارش داده است که یک بازیگر سایبری منتسب به دولت (nation-state) با نفوذ به سیستمهای داخلی، موفق به سرقت بخشی از کد منبع محصول BIG-IP و مستندات مربوط به آسیبپذیریهایی شده است که هنوز به صورت عمومی منتشر نشده بودند.
به گزارش روز صفر در اطلاعیهای که F5 روز ۱۵ اکتبر ۲۰۲۵ منتشر کرد، آمده است که این رخنه در تاریخ ۹ اوت ۲۰۲۵ کشف شد اما انتشار عمومی آن بنا به درخواست وزارت دادگستری ایالات متحده به تعویق افتاد. شرکت تصریح کرده است که در حال حاضر هیچ مدرکی دال بر بهرهبرداری فعال از آسیبپذیریهای جدید یا دستکاری در زنجیره تأمین نرمافزار داخلی (supply chain) بهدست نیاورده است. همچنین، سیستمهای CRM، مالی، پشتیبانی و iHealth این شرکت نیز مورد دسترسی قرار نگرفتهاند.
با این حال، برخی از فایلهای به سرقت رفته شامل پیکربندی مشتریان یا اطلاعات پیادهسازی خاص برخی کاربران بودهاند که ممکن است در برنامهریزی حملات به آنها مورد استفاده قرار گیرند.
دامنه نفوذ، پیامدها و هشدارهای امنیتی
به گفته مرکز تحلیل تهدید Unit 42، این نفوذ شامل دسترسی مداوم و بلندمدت (persistent) به محیط توسعه محصول و سیستم مدیریت دانش مهندسی شرکت بوده است. این امکان به حملهکنندگان داده است تا به مستندات حساس، کد منبع و آسیبپذیریهای داخلِ در حال بررسی دسترسی یابند. این موضوع اهمیت بالایی دارد، زیرا دسترسی به کد منبع و آسیبپذیریهایی که هنوز اصلاح نشدهاند، میتواند سرعت خلق حملات هدفمند را افزایش داده و به مهاجمان امکان دهد پیش از توسعه وصلهها (patch) از آنها بهره ببرند.
در واکنش به این حمله، آژانس امنیت سایبری آمریکا CISA دستوری اضطراری (Emergency Directive ED 26-01) صادر کرده است که همه نهادهای فدرال را ملزم میسازد تجهیزات F5 BIG-IP خود را شناسایی، وضعیت امنیتی آنها را بررسی و بهروزرسانیهای جدید را تا تاریخ ۲۲ اکتبر ۲۰۲۵ اعمال کنند.
در این دستور، تأکید شده که این حمله بالقوه میتواند منجر به دسترسی به کلیدهای API، عبور جانبی در شبکه (lateral movement)، استخراج داده و کنترل مداوم سیستمها شود. همچنین، CISA خواسته است نهادها گزارشی از لیست تجهیزات F5، وضعیت دسترسی به رابط مدیریت، فعالیتهای کاهش خطر و اقدامات انجامشده را تا پایان روز ۲۹ اکتبر ۲۰۲۵ ارسال کنند.
از سوی دیگر، شرکتهای مستقل امنیتی مانند IOActive و NCC Group بررسیهایی انجام دادهاند و اعلام کردهاند هیچ نشانهای از دستکاری در فرآیند ساخت (build pipeline) یا دسترسی به زنجیره تأمین نرمافزار F5 نیافتهاند. در گزارش Rapid7 نیز تأکید شده است که بیش از ۴۴ آسیبپذیری جدید برای محصولات F5 همزمان با انتشار رویداد منتشر شد و شرکت از مشتریانش خواسته است این وصلهها را بدون تأخیر اعمال کنند.
برخی گزارشها (از طریق بلومبرگ) ادعا کردهاند که این نفوذ ممکن است مرتبط با گروهی منتسب به چین با نام UNC5221 باشد که از بدافزاری به نام BRICKSTORM استفاده کردهاند و مدت زمان نفوذ دستکم یک سال تخمین زده میشود.
توصیهها برای سازمانهایی که از محصولات F5 استفاده میکنند
برای کاهش خطرات ناشی از این نفوذ و حفاظت از زیرساختهای حساس، کارشناسان توصیه میکنند:
- بهروزرسانی فوری تمامی محصولات F5
شامل BIG-IP (تمام نسخهها)، F5OS، BIG-IP Next، BIG-IQ و کلاینتهای APM. - شناسایی و انهدام نسخههای منسوخ یا EoL
تجهیزاتی که بهروزرسانی نمیشوند باید از شبکه حذف شوند یا دسترسیشان محدود گردد. - محدودسازی دسترسی به رابط مدیریت
رابطهای مدیریتی نباید به اینترنت عمومی در دسترس باشند؛ استفاده از jump boxes یا دسترسی داخلی پیشنهاد شده است. - فعالسازی مکانیسمهای امنیتی و نظارتی
از جمله ارسال رویدادها به سیستم SIEM، پیکربندی syslog، پایش ورودهای مدیران، تغییرات پیکربندی و سایر فعالیتهای مشکوک. - راهاندازی عملیات جستوجوی تهدید (Threat Hunting)
- بر اساس راهنماییهای F5 و CISA، برای کشف فعالیتهای مشکوک و نقاط نفوذ احتمالی تلاش شود.
- پایش دقیق تغییرات در محیط توسعه و کد
- اطمینان حاصل شود ساختهای جدید تغییر نکردهاند و فرآیندهای اعتبارسنجی و امضای کد (code signing) به درستی اجرا میشوند.
- گزارش وضعیت امنیتی به مراجع ذیصلاح
- سازمانها، بسته به الزام قانونی یا ذیربط بودن، باید وضعیت امنیتی خود را مطابق دستورالعملهای صادره به مراجع گزارش دهند.
نفوذ اخیر به شرکت F5، با سرقت کد منبع BIG-IP و مستندات آسیبپذیری، نهتنها یکی از بزرگترین رخدادهای امنیتی فناوری شبکه در سال ۲۰۲۵ است، بلکه هشداری بزرگ به سازمانهایی است که بر تجهیزات F5 تکیه دارند. این حمله نشان میدهد که حتی شرکتهای بزرگ امنیتی نیز ممکن است در معرض تهدیدات پیشرفته و طولانیمدت قرار گیرند.
در شرایطی که مهاجمان ممکن است اقدام به بهرهبرداری سریع از آسیبپذیریهای مخفی قبل از انتشار وصله کنند، ضرورت دارد که نهادها با سرعت اقدام به بهروزرسانی، نظارت دقیق، و راههای دفاعی پیشگیرانه کنند. علاوه بر این، همکاری میان صنایع، انتشار اطلاعات حملات و پیادهسازی اصول امنیت پوینده (defense-in-depth) بیش از همیشه اهمیت یافته است.
