En sofistikerad hackargrupp sponsrad av en odisclosed nationell stat har brutit sig in i F5:s nätverk och stulit BIG-IP:s källkod och sårbarhetsdetaljer, vilket lett till akuta varningar från USA:s och Storbritanniens myndigheter. Tusentals nätverk, inklusive de hos amerikanska statsorgan och Fortune 500-företag, står inför omedelbara risker från potentiella leveranskedjeattacker. F5 har släppt uppdateringar, men användare måste agera omedelbart för att säkra sina system.
F5, en Seattle-baserad tillverkare av nätverksprogramvara, avslöjade den 15 oktober 2025 att en 'sofistikerad' hotgrupp sponsrad av en odisclosed nationell stat hade trängt in i dess nätverk under en lång period, möjligen år. Hackarna fick kontroll över segmentet som används för att bygga och distribuera uppdateringar för BIG-IP, en produkt som används av 48 av världens 50 största företag som lastbalanserar, brandväggar och datainspektionsverktyg vid nätverkskanter.
Under intrånget laddade gruppen ner proprietär BIG-IP-källkod, information om privat upptäckta men opatchade sårbarheter, och kundkonfigurationsinställningar. Denna åtkomst väcker farhågor om leveranskedjeattacker, där hackare skulle kunna utnyttja svagheter för att tränga in i tusentals känsliga nätverk, eller missbruka stulna uppgifter för ytterligare intrång. Som F5 noterade tillåter BIG-IP:s kantposition att komprometterade enheter utökar åtkomst djupare in i infekterade nätverk.
Undersökningar av IOActive, NCC Group, Mandiant och CrowdStrike fann inga bevis för manipulation i leveranskedjan, introducerade sårbarheter eller åtkomst till F5:s CRM, finansiella, support- eller hälsosystem. Företagen bekräftade inga kritiska sårbarheter i den analyserade koden och byggpipelinen. Två dagar tidigare roterade F5 BIG-IP-signeringscertifikat, även om dess koppling till intrånget förblir obekräftad.
USA:s Cybersecurity and Infrastructure Security Agency (CISA) varnade för ett 'omedelbart hot' och 'oanvändbar risk' för federala myndigheter, och beordrade dem att inventera alla BIG-IP-enheter —inklusive de som hanteras av tredje part— installera F5:s uppdateringar för BIG-IP, F5OS, BIG-IQ och APM-produkter, och följa en given hotjaktguide. Storbritanniens National Cyber Security Centre utfärdade en liknande direktiv. Privatsektorns BIG-IP-användare står inför samma rekommendationer för att mildra risker.