Kelompok peretasan negara-bangsa yang canggih menembus jaringan F5, mencuri kode sumber BIG-IP dan detail kerentanan, memicu peringatan darurat dari otoritas AS dan Inggris. Ribuan jaringan, termasuk milik lembaga pemerintah AS dan perusahaan Fortune 500, menghadapi risiko mendesak dari serangan rantai pasok potensial. F5 telah merilis pembaruan, tetapi pengguna harus bertindak segera untuk mengamankan sistem mereka.
F5, pembuat perangkat lunak jaringan berbasis Seattle, mengungkapkan pada 15 Oktober 2025, bahwa kelompok ancaman 'canggih' yang didukung oleh negara-bangsa yang tidak diungkapkan telah menyusup secara persisten ke jaringannya selama periode panjang, mungkin bertahun-tahun. Peretas memperoleh kendali atas segmen yang digunakan untuk membangun dan mendistribusikan pembaruan untuk BIG-IP, produk yang diterapkan oleh 48 dari 50 perusahaan teratas dunia sebagai penyeimbang beban, firewall, dan alat inspeksi data di tepi jaringan.
Selama penyusupan, kelompok tersebut mengunduh kode sumber BIG-IP milik, informasi tentang kerentanan yang ditemukan secara pribadi tetapi belum ditambal, dan pengaturan konfigurasi pelanggan. Akses ini menimbulkan kekhawatiran tentang serangan rantai pasok, di mana peretas dapat mengeksploitasi kelemahan untuk menembus ribuan jaringan sensitif, atau menyalahgunakan kredensial yang dicuri untuk penyusupan lebih lanjut. Seperti yang dicatat F5, posisi tepi BIG-IP memungkinkan perangkat yang dikompromikan untuk memperluas akses lebih dalam ke jaringan yang terinfeksi.
Penelitian oleh IOActive, NCC Group, Mandiant, dan CrowdStrike tidak menemukan bukti pemadaman rantai pasok, kerentanan yang diperkenalkan, atau akses ke sistem CRM, keuangan, dukungan, atau kesehatan F5. Perusahaan-perusahaan tersebut mengonfirmasi tidak ada kerentanan kritis dalam kode yang dianalisis dan pipa pembangunan. Dua hari sebelumnya, F5 memutar ulang sertifikat penandatanganan BIG-IP, meskipun hubungannya dengan pelanggaran masih belum dikonfirmasi.
Badan Keamanan Siber dan Infrastruktur AS (CISA) memperingatkan tentang 'ancaman mendesak' dan 'risiko yang tidak dapat diterima' bagi lembaga federal, memerintahkan mereka untuk menginventarisasi semua perangkat BIG-IP —termasuk yang dikelola oleh pihak ketiga— memasang pembaruan F5 untuk produk BIG-IP, F5OS, BIG-IQ, dan APM, dan mengikuti panduan perburuan ancaman yang disediakan. Pusat Keamanan Siber Nasional Inggris mengeluarkan arahan serupa. Pengguna BIG-IP sektor swasta menghadapi rekomendasi yang sama untuk mengurangi risiko.