Vulnérabilités

Bulletin de menace : un acteur étatique vole le code source de F5 BIG-IP et accède à des vulnérabilités non divulguées

Clock Icon 6 minutes de lecture
Related Products
CortexCortex XpanseUnit 42 Incident Response iconUnit 42 Incident Response

Résumé exécutif

Le 15 octobre 2025, F5 — une entreprise technologique américaine — a révélé qu'un acteur de la menace étatique a mené une compromission significative et de longue durée de ses réseaux d'entreprise. Lors de cet incident, les attaquants ont volé le code source de leur suite de produits BIG-IP ainsi que des informations sur des vulnérabilités non divulguées. La suite BIG-IP de F5 est couramment utilisée par de grandes organisations, principalement aux États-Unis mais aussi dans le monde entier, pour la disponibilité, le contrôle d'accès et la sécurité. Des organisations, y compris des agences gouvernementales et des entreprises du Fortune 500, comptent sur BIG-IP.

Cortex Xpanse identifie actuellement plus de 600 000 instances F5 BIG-IP exposées sur Internet.

L'enquête de F5 a révélé que les attaquants ont maintenu un accès à long terme à l'environnement de développement des produits de l'entreprise et à la plateforme de gestion des connaissances en ingénierie. Cela a permis aux attaquants d'accéder à des données très sensibles.

F5 a également publié les détails de plusieurs vulnérabilités de gravité variable. Voici quelques-unes des vulnérabilités clés :

  • CVE-2025-53868 : Une vulnérabilité SCP et SFTP de BIG-IP avec un score CVSS de 8.7. Cela pourrait permettre un impact significatif sur les systèmes affectés.
  • CVE-2025-61955 : Une vulnérabilité F5OS avec un score CVSS allant jusqu'à 8.8 en mode appliance. Cela pourrait entraîner des compromissions majeures des systèmes F5OS-A et F5OS-C.
  • CVE-2025-57780 : Une vulnérabilité F5OS avec un score CVSS allant jusqu'à 8.8 en mode appliance, représentant une autre menace critique pour les systèmes F5OS.

Points clés

  • Ce qui a été exfiltré : L'acteur de la menace a exfiltré des fichiers de l'environnement de développement des produits BIG-IP et des plateformes de gestion des connaissances en ingénierie. Ces fichiers contenaient une partie du code source de BIG-IP et des informations sur des vulnérabilités non divulguées. F5 a déclaré n'avoir actuellement aucune connaissance de vulnérabilités critiques non divulguées ou permettant l'exécution de code à distance, et n'a pas observé d'exploitation active de vulnérabilités F5 non divulguées.
  • Impact sur les clients : Il n'y a aucune preuve d'accès ou d'exfiltration de données des systèmes CRM, financiers, de gestion des cas de support ou iHealth de F5. Cependant, certains des fichiers exfiltrés de la plateforme de gestion des connaissances contenaient des informations de configuration ou de mise en œuvre pour un faible pourcentage de clients.
  • Intégrité de la chaîne d'approvisionnement : Il n'y a aucune preuve de modification de la chaîne d'approvisionnement logicielle de F5, y compris le code source et les pipelines de construction et de publication.
  • Non affecté : Il n'y a aucune preuve que l'acteur de la menace ait accédé ou modifié le code source de NGINX ou l'environnement de développement de produits. Il n'y avait également aucune preuve que l'acteur de la menace ait accédé ou modifié les services F5 Distributed Cloud ou les systèmes Silverline.

Bien que les détails sur ce qui a été exactement exfiltré ne soient pas publics, le vol de code source et de vulnérabilités non divulguées est significatif et pourrait potentiellement faciliter une exploitation rapide des vulnérabilités.

Recommandations

Unit 42 recommande vivement de suivre les directives publiques de F5 dans sa Notification de Sécurité publique et sa Notification de Sécurité Trimestrielle.

L'équipe d'Intervention sur Incident de l'Unit 42 peut être engagée pour aider en cas de compromission ou pour fournir une évaluation proactive afin de réduire votre risque.

Cortex Xpanse dispose de règles de surface d'attaque existantes qui peuvent être utilisées pour aider les clients à identifier les appareils F5 accessibles au public.

Détails de l'attaque

Selon F5, la compromission de leurs réseaux d'entreprise a été menée par un acteur étatique sophistiqué non spécifié. Les attaques de ces dernières années ont illustré l'attrait des entreprises technologiques non seulement comme une cible viable, mais aussi comme un multiplicateur de force pour accroître l'efficacité et le calendrier des activités d'espionnage.

Historique des attaques ciblées

Il existe un historique d'acteurs étatiques s'en prenant à des cibles de grande valeur dans le secteur technologique. Compte tenu de la portée de la suite BIG-IP de F5, des acteurs sophistiqués et bien dotés en ressources s'y sont intéressés par le passé.

Fin 2023, une vulnérabilité critique (CVE-2023-46747) a émergé dans l'interface utilisateur de gestion du trafic (TMUI) de BIG-IP, permettant un contournement de l'authentification. UNC5174, un acteur de la menace lié à la Chine, a activement exploité cette faille. L'enquête de Mandiant a révélé que le groupe a exploité cette vulnérabilité pour créer des comptes administrateur backdoor, obtenant finalement l'exécution de commandes sur les appareils compromis.

Pendant trois ans, un groupe parrainé par l'État chinois, désigné Velvet Ant, a utilisé des logiciels malveillants pour exploiter des équipements F5 BIG-IP obsolètes. Cela a permis un accès persistant et l'exfiltration de données du réseau d'une organisation ciblée.

En juillet 2025, une vulnérabilité critique (CVE-2022-1388) est devenue la porte d'entrée d'une autre attaque sophistiquée. Le groupe lié à la Chine connu sous le nom de Fire Ant — qui recoupe UNC3886 — a exploité une faille de contournement de l'authentification iControl REST dans les appareils F5 BIG-IP. Cela leur a permis de déployer des shells web, de tunneler le trafic entre les segments du réseau et d'exécuter des commandes système arbitraires.

Portée actuelle de l'attaque contre F5

L'acteur de la menace a exfiltré des fichiers de l'environnement de développement de produits BIG-IP et des plateformes de gestion des connaissances en ingénierie. Le message de F5 du 16 octobre indiquait que l'entreprise n'a trouvé aucune preuve d'accès ou d'exfiltration de données de ses systèmes CRM, financiers, de gestion des cas de support ou iHealth. Cependant, certains des fichiers exfiltrés de la plateforme de gestion des connaissances contenaient des informations de configuration ou de mise en œuvre pour un faible pourcentage de clients.

F5 a déclaré que les fichiers volés contenaient une partie du code source de BIG-IP et des informations sur des vulnérabilités non divulguées. F5 a déclaré n'avoir actuellement aucune connaissance de vulnérabilités critiques non divulguées ou permettant l'exécution de code à distance. Il n'a pas non plus observé d'exploitation active de vulnérabilités F5 non divulguées.

Il n'y a eu aucune preuve de modification de la chaîne d'approvisionnement logicielle de F5, y compris le code source et les pipelines de construction et de publication. Il n'y a également aucune preuve que l'acteur de la menace ait accédé ou modifié le code source de NGINX ou l'environnement de développement de produits. Enfin, il n'y avait aucune preuve que l'acteur de la menace ait accédé ou modifié les services F5 Distributed Cloud ou les systèmes Silverline.

Généralement, si un attaquant vole du code source, il faut du temps pour trouver des problèmes exploitables. Dans ce cas, l'acteur de la menace a également volé des informations sur des vulnérabilités non divulguées que F5 s'efforçait activement de corriger. Cela pourrait donner aux acteurs de la menace la capacité d'exploiter des vulnérabilités qui n'ont pas de correctif public, augmentant potentiellement la vitesse de création d'exploits.

La divulgation de 45 vulnérabilités ce trimestre contre seulement six le trimestre dernier suggère que F5 se dépêche de corriger activement autant de failles que possible avant que les acteurs de la menace ne puissent les exploiter.

Recommandations provisoires

Unit 42 recommande vivement de suivre les directives publiques de F5 dans sa Notification de Sécurité publique et sa Notification de Sécurité Trimestrielle. Ces directives comprennent :

  • La mise à jour du logiciel BIG-IP
  • Un guide de chasse aux menaces (threat hunting)
  • Des conseils de durcissement
  • Des recommandations d'intégration de la gestion des informations et des événements de sécurité (SIEM)

F5 recommande vivement de mettre à jour le logiciel BIG-IP dès que possible. Le support F5 fournit un guide de chasse aux menaces pour renforcer la détection et la surveillance. Il a également publié les meilleures pratiques pour le durcissement des systèmes F5, en ajoutant des vérifications de durcissement automatisées à l'Outil de Diagnostic F5 iHealth. Cet outil peut aider à mettre en évidence les lacunes, à prioriser les actions et à fournir des liens vers des conseils de remédiation.

Enfin, F5 recommande ce qui suit :

  • Activer le streaming des événements BIG-IP vers le SIEM
  • Suivre les instructions pas à pas pour la configuration de syslog (KB13080)
  • Surveiller les tentatives de connexion (KB13426) pour améliorer la visibilité et les alertes pour :
    • Les connexions administrateur
    • Les échecs d'authentification
    • Les modifications de privilèges et de configuration

Conclusion

L'impact potentiel de cette compromission est unique en raison du vol d'informations confidentielles concernant des vulnérabilités non divulguées que F5 était activement en train de corriger. Ces données pourraient potentiellement donner aux acteurs de la menace la capacité d'exploiter des vulnérabilités pour lesquelles aucun correctif public n'existe actuellement, ce qui pourrait accélérer la création d'exploits.

Selon les informations publiques, la compromission a été identifiée début août 2025. Bien que F5 ait déclaré n'avoir pas encore vu de preuves d'exploitation "in-the-wild", le calendrier suggère que ces vulnérabilités auraient pu être exploitées pendant plus de deux mois. Cela souligne la nécessité de mettre en place immédiatement les mesures d'atténuation conseillées.

La divulgation rapide et les conseils d'atténuation de F5 sont des premières étapes cruciales. La priorité absolue pour toute organisation utilisant F5 BIG-IP est de mettre en œuvre sans délai les recommandations d'atténuation et de renforcement et de commencer immédiatement les activités de chasse aux menaces.

Cela souligne la nécessité d'une stratégie de défense en profondeur face aux vulnérabilités inconnues, émergentes et précédemment identifiées.

Les clients de Palo Alto Networks sont mieux protégés par nos produits, comme indiqué ci-dessous. Nous mettrons à jour ce bulletin de menace à mesure que des informations plus pertinentes seront disponibles.

Protections des Produits Palo Alto Networks

Les clients de Palo Alto Networks peuvent tirer parti d'une variété de protections et de mises à jour de produits pour identifier et se défendre contre cette menace.

Si vous pensez avoir été compromis ou avez une urgence, contactez l'équipe d'Intervention sur Incident de l'Unit 42 ou appelez :

  • Amérique du Nord : Numéro gratuit : +1 (866) 486-4842 (866.4.UNIT42)
  • Royaume-Uni : +44.20.3743.3660
  • Europe et Moyen-Orient : +31.20.299.3130
  • Asie : +65.6983.8730
  • Japon : +81.50.1790.0200
  • Australie : +61.2.4062.7950
  • Inde : 000 800 050 45107

Cortex Xpanse

Cortex Xpanse dispose de règles de surface d'attaque existantes qui peuvent être utilisées pour aider les clients à identifier les appareils F5 accessibles au public.

Étiquettes

SOMMAIRE

Sur le même thème

Associé Vulnérabilités Ressources

Enlarged Image

Recevez toutes les dernières infos, invitations à des évènements et alertes de sécurité

Default Heading

Read the article Right Arrow