F5 udsender sikkerhedsopdateringer efter statsstøttet angreb

Eskil Sørensen
10.16.2025 11:18
Har implikationer for forsyningskædesikkerheden

Efter et statsstøttet cyberangreb, hvor kildekode og sårbarhedsdata blev stjålet fra F5’s interne systemer, har virksomheden nu udsendt opdateringer til 44 sårbarheder.  

Det skriver Bleeping Computer.

Statsstøttet angreb med fokus på kildekode og sårbarheder

F5 blev i august 2025 ramt af et avanceret cyberangreb, som virksomheden selv tilskriver statsstøttede aktører – med angrebsprofilen pegende mod Kina. Angriberne opnåede vedvarende adgang til udviklingsmiljøer og eksfiltrerede bl.a.:

  • Kildekode til BIG-IP
  • Information om ikke-offentliggjorte sårbarheder
  • Konfigurationsdata relateret til en mindre del af kundebasen

Selvom F5 ikke har identificeret tegn på aktiv udnyttelse af de stjålne sårbarheder, er hændelsen alvorlig, da den potentielt giver angriberne mulighed for at analysere kildekoden og udvikle 0-dagsudnyttelser.

Opdateringer til 44 sårbarheder – herunder dem fra angrebet

Den 15. oktober har F5 så udsendt sikkerhedsopdateringer til 44 sårbarheder, som inkluderer dem, der blev kompromitteret under angrebet. Opdateringerne dækker følgende produkter:

  • BIG-IP
  • F5OS
  • BIG-IP Next for Kubernetes
  • BIG-IQ
  • APM-klienter

F5 har samtidig udsendt vejledning til hærdning af F5-miljøer, herunder anbefalinger om:

  • Aktivering af event streaming til SIEM
  • Konfiguration af remote syslog-servere
  • Overvågning af loginforsøg, privilegieændringer og konfigurationsændringer

Emergency directive udsendt i USA

F5 fastholder, at der ikke er tegn på kompromittering af softwareforsyningskæden, og at der ikke er identificeret kritiske eller fjernudnyttelige fejl blandt de stjålne data, men graden af alvoret over angrebet understreges af, at CISA har udsendt et såkaldt emergency directive, som pålægger føderale myndigheder at:

  • Installere de nyeste F5-opdateringer senest 22. oktober for centrale produkter.
  • Frakoble og afvikle public-facing F5-enheder, der ikke længere understøttes.
  • Gennemføre netværksinventar og vurdering af eksponering mod internettet.

I forbindelse med udsendelse af emergency directivet advarer CISA om, at sårbare BIG-IP-enheder kan udnyttes til:

  • Tyveri af legitimationsoplysninger og API-nøgler
  • Laterale bevægelser i netværket
  • Dataeksfiltration og vedvarende adgang
  • Kompromittering af interne systemer og netværk

Det anbefales, at opdateringerne fra F5 installes med det samme.

I Danmark er der ca. knap 23.000 installationer af F5-produkter.

Læs mere

Sårbarhed