Il 15 ottobre 2025, F5 ha segnalato che un gruppo cybercriminali riconducibile a uno Stato-nazione aveva ottenuto un accesso prolungato ad alcuni sistemi F5 ed esfiltrato dati, tra cui codice sorgente e informazioni relative a vulnerabilità di prodotto non divulgate. Queste informazioni potrebbero consentire agli aggressori di compromettere i dispositivi F5 sviluppando exploit per tali vulnerabilità. Il National Cyber Security Centre del Regno Unito ha inoltre osservato che tali violazioni potrebbero portare al furto di credenziali, al movimento laterale, all’esfiltrazione di dati e al mantenimento di un accesso persistente.
I sistemi interessati includono l’ambiente di sviluppo del prodotto BIG-IP e le piattaforme di gestione della conoscenza ingegneristica. Tra l’hardware identificato figurano BIG-IP iSeries, rSeries e altri dispositivi F5 che hanno raggiunto la fine del supporto. Sono inoltre interessati i software BIG-IP (F5OS), BIG-IP (TMOS), Virtual Edition (VE), BIG-IP Next, BIG-IQ e BIG-IP Next for Kubernetes (BNK) / Cloud-Native Network Functions (CNF).
Alla data di pubblicazione, non ci sono prove che le reti dei clienti F5 siano state compromesse.
Azioni raccomandate
Le organizzazioni dovrebbero identificare le istanze F5 vulnerabili presenti nei propri ambienti e procedere all’aggiornamento secondo necessità. Inoltre, dovrebbero monitorare gli avvisi F5 per ricevere informazioni e mitigazioni aggiornate.
Azioni Sophos
Sophos non si basa su prodotti F5. I ricercatori del Counter Threat Unit™ (CTU) stanno monitorando eventuali attività che indichino lo sfruttamento delle vulnerabilità F5.
