F5 Networks: Hacker stehlen BIG-IP-Quellcode und Daten zu Sicherheitslücken

F5 Networks hat bestätigt, dass ein hochentwickelter staatlicher Angreifer in die Systeme des Unternehmens eingedrungen ist und proprietären Quellcode der BIG-IP-Produkte sowie vertrauliche Informationen über bislang nicht veröffentlichte Sicherheitslücken gestohlen hat.

Der Angriff, der im August 2025 begann, betraf vor allem die Produktentwicklungs- und Engineering-Wissensplattformen von F5. Das Unternehmen reagierte umgehend mit Maßnahmen zur Schadensbegrenzung, um Kunden zu schützen und Vertrauen wiederherzustellen.

F5 teilte mit, dass der Angreifer über einen längeren Zeitraum kontinuierlichen Zugriff auf bestimmte Systeme hatte und Daten exfiltriert hat. Ziel waren unter anderem die BIG-IP-Produktentwicklungsumgebung sowie Plattformen für technisches Wissensmanagement. Seit der Eindämmung der Angriffe wurden keine weiteren unbefugten Aktivitäten festgestellt.

Als Reaktion auf den Vorfall arbeitet F5 mit führenden Cybersicherheitsexperten wie CrowdStrike und Mandiant zusammen und steht in Kontakt mit Strafverfolgungsbehörden sowie Regierungspartnern. Zudem wurden Sicherheitsupdates für BIG-IP, F5OS, BIG-IP Next für Kubernetes, BIG-IQ und APM-Clients veröffentlicht. Kunden wird dringend empfohlen, diese Updates zeitnah zu installieren.

Laut F5-Analyse enthielten die gestohlenen Dateien einen Teil des BIG-IP-Quellcodes sowie Informationen über bislang nicht offengelegte Schwachstellen. Das Unternehmen hat bislang keine Hinweise auf kritische Sicherheitslücken mit aktiver Ausnutzung gefunden. Daten aus CRM-, Finanz-, Support-Case-Management- oder iHealth-Systemen seien nicht betroffen. Einige der entwendeten Dateien könnten jedoch Konfigurations- oder Implementierungsinformationen einzelner Kunden enthalten; betroffene Kunden werden gegebenenfalls direkt informiert.

Untersuchungen unabhängiger Sicherheitsfirmen wie NCC Group und IOActive bestätigen, dass die Software-Lieferkette, inklusive Quellcode sowie Build- und Release-Pipelines, nicht manipuliert wurde. Zudem gibt es keine Hinweise auf Zugriffe auf den NGINX-Quellcode oder die F5 Distributed Cloud Services und Silverline-Systeme.

Weitere Informationen finden Sie in unserer vierteljährlichen Sicherheitsmitteilung vom Oktober 2025. Wir empfehlen dringend, so bald wie möglich auf diese neuen Versionen zu aktualisieren.

F5 Networks: Was wir wissen

Zum jetzigen Zeitpunkt haben wir auf Grundlage unserer Untersuchung der verfügbaren Protokolle Folgendes festgestellt:

• Wir haben bestätigt, dass der Angreifer Dateien aus unserer BIG-IP-Produktentwicklungsumgebung und unseren Plattformen für das Wissensmanagement im Bereich Technik exfiltriert hat. Diese Dateien enthielten einen Teil unseres BIG-IP-Quellcodes sowie Informationen zu nicht offengelegten Schwachstellen, an denen wir in BIG-IP gearbeitet haben. Uns sind keine nicht offengelegten kritischen oder Remote-Code-Schwachstellen bekannt, und wir haben keine Kenntnis von einer aktiven Ausnutzung nicht offengelegter F5-Schwachstellen.
• Wir haben keine Hinweise darauf, dass Daten aus unseren CRM-, Finanz-, Support-Case-Management- oder iHealth-Systemen abgerufen oder entwendet wurden. Einige der aus unserer Wissensmanagement-Plattform entwendeten Dateien enthielten jedoch Konfigurations- oder Implementierungsinformationen für einen kleinen Prozentsatz unserer Kunden. Wir überprüfen derzeit diese Dateien und werden gegebenenfalls direkt mit den betroffenen Kunden Kontakt aufnehmen.
• Wir haben keine Hinweise darauf, dass unsere Software-Lieferkette, einschließlich unseres Quellcodes und unserer Build- und Release-Pipelines, verändert wurde. Diese Einschätzung wurde durch unabhängige Überprüfungen der führenden Cybersicherheitsforschungsunternehmen NCC Group und IOActive bestätigt.
• Wir haben keine Hinweise darauf, dass der Angreifer auf den NGINX-Quellcode oder die Produktentwicklungsumgebung zugegriffen oder diese verändert hat, und wir haben auch keine Hinweise darauf, dass er auf unsere F5 Distributed Cloud Services oder Silverline-Systeme zugegriffen oder diese verändert hat.

Was Sie tun können

Unsere Priorität ist es derzeit, Ihnen dabei zu helfen, Ihre F5-Umgebung gegen Risiken aus diesem Vorfall zu stärken und zu sichern. Wir stellen Ihnen eine Reihe von Ressourcen zur Verfügung, um Sie bei Ihren Maßnahmen zu unterstützen:

• Updates für die BIG-IP-Software. Updates für BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ und APM-Clients sind jetzt verfügbar. Obwohl uns keine unbekannten kritischen oder Remote-Code-Execution-Schwachstellen bekannt sind, empfehlen wir Ihnen dringend, Ihre BIG-IP-Software so schnell wie möglich zu aktualisieren. Weitere Informationen zu diesen Updates finden Sie in der vierteljährlichen Sicherheitsmitteilung.
• Threat Intelligence. Ein Leitfaden zur Bedrohungssuche zur Verbesserung der Erkennung und Überwachung in Ihrer Umgebung ist beim F5-Support erhältlich.
• Anleitung zur Absicherung mit Überprüfung. Wir veröffentlichen Best Practices zur Absicherung Ihrer F5-Systeme und haben automatisierte Absicherungsprüfungen zum F5 iHealth Diagnostic Tool hinzugefügt. Dieses Tool deckt Lücken auf, priorisiert Maßnahmen und bietet Links zu Anleitungen zur Behebung.
• SIEM-Integration und Überwachungsanleitung. Wir empfehlen, das BIG-IP-Ereignis-Streaming zu Ihrem SIEM zu aktivieren, und bieten Schritt-für-Schritt-Anleitungen für die Syslog-Konfiguration (KB13080) und die Überwachung von Anmeldeversuchen (KB13426). Dadurch werden die Sichtbarkeit und die Warnmeldungen für Administratoranmeldungen, fehlgeschlagene Authentifizierungen sowie Änderungen an Berechtigungen und Konfigurationen verbessert.

Unser globales Support-Team steht Ihnen gerne zur Verfügung. Sie können einen MyF5-Supportfall eröffnen oder sich direkt an den F5-Support wenden, um Hilfe bei der Aktualisierung Ihrer BIG-IP-Software, der Umsetzung dieser Schritte oder bei Fragen zu erhalten. Wir werden diese Seite mit neuen Informationen und Ressourcen auf dem neuesten Stand halten.

Was wir tun

Wir haben wichtige Maßnahmen zum Schutz unserer Kunden ergriffen und werden dies auch weiterhin tun, indem wir diese Bedrohung beseitigen und die Sicherheit unserer zentralen Unternehmens- und Produktinfrastruktur stärken.

Seit Beginn unserer Maßnahmen zur Reaktion auf den Vorfall haben wir Folgendes unternommen:

• Wir haben die Anmeldedaten rotiert und die Zugriffskontrollen in allen unseren Systemen verstärkt.
• Wir haben eine verbesserte Automatisierung der Bestands- und Patch-Verwaltung sowie zusätzliche Tools eingeführt, um Bedrohungen besser überwachen, erkennen und darauf reagieren zu können.
• Wir haben Verbesserungen an unserer Netzwerksicherheitsarchitektur vorgenommen.
• Unsere Produktentwicklungsumgebung gehärtet, einschließlich der Stärkung der Sicherheitskontrollen und der Überwachung aller Softwareentwicklungsplattformen.

Wir ergreifen zusätzliche Maßnahmen, um die Sicherheit unserer Produkte weiter zu stärken:

• Fortsetzung der Codeüberprüfung und Penetrationstests unserer Produkte mit Unterstützung der NCC Group und IOActive, um Schwachstellen in unserem Code zu identifizieren und zu beheben.
• Partnerschaft mit CrowdStrike, um Falcon EDR-Sensoren und Overwatch Threat Hunting auf BIG-IP auszuweiten, um zusätzliche Transparenz zu schaffen und die Abwehrmaßnahmen zu stärken. BIG-IP-Kunden erhalten eine Early-Access-Version, und F5 stellt allen unterstützten Kunden ein kostenloses Falcon EDR-Abonnement zur Verfügung.

Ihr Vertrauen ist uns wichtig. Wir wissen, dass wir es uns jeden Tag neu verdienen müssen, insbesondere wenn etwas schiefgeht. Wir bedauern diesen Vorfall und das Risiko, das er für Sie mit sich bringen kann, zutiefst. Wir sind entschlossen, aus diesem Vorfall zu lernen und die gewonnenen Erkenntnisse mit der gesamten Sicherheits-Community zu teilen.

• Knowledge – K000157005: F5 signing certificate and key rotation, October 2025
• Security Advisory – K000156992: IPMI vulnerability CVE-2023-28863
• Policy – K4309: F5 hardware product lifecycle support policy
• Security Advisory – K000156983: libbpf vulnerability CVE-2025-29481

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky