F5 sotto attacco: hacker di Stato rubano codice e vulnerabilità di BIG-IP

F5 Inc., società statunitense che opera nel campo nella sicurezza informatica e nei servizi di Application Delivery Networking (ADN), ha confermato di essere stata vittima di un attacco informatico condotto da hacker sponsorizzati da uno Stato. Secondo fonti vicine all'indagine, gli autori sarebbero gruppi legati alla Cina, già noti per operazioni di cyberspionaggio contro fornitori di tecnologie critiche.

L'intrusione, scoperta il 9 agosto 2025, avrebbe garantito agli attaccanti un accesso prolungato - per oltre un anno - ai sistemi interni dell'azienda, compresi gli ambienti di sviluppo del prodotto BIG-IP. Dai sistemi sarebbero stati sottratti porzioni di codice sorgente, dati su vulnerabilità non ancora pubbliche e alcune informazioni di configurazione relative a clienti selezionati.

La linea BIG-IP rappresenta il cuore dell'offerta F5: appliance e software per la gestione del traffico applicativo, load balancing e protezione delle reti di grandi aziende e agenzie governative. Proprio questa diffusione rende l'attacco particolarmente sensibile: 48 delle 50 aziende Fortune 50 utilizzano soluzioni F5.

Il timore degli esperti è che il furto del codice sorgente possa consentire la creazione di exploit mirati contro organizzazioni che impiegano prodotti BIG-IP, aprendo la strada a compromissioni difficili da individuare. Le autorità statunitensi e britanniche hanno definito la vicenda una "minaccia significativa" per la sicurezza delle reti federali e aziendali.

F5 sottolinea di non aver riscontrato evidenze di sfruttamento attivo delle vulnerabilità rubate, né alterazioni alla propria supply chain software o ai sistemi che gestiscono dati dei clienti. Tuttavia, l'azienda ha adottato una serie di misure di contenimento:

• rotazione delle credenziali e rafforzamento dei controlli di accesso;
• automazione nella gestione delle patch;
• revisione dell'architettura di rete;
• potenziamento del monitoraggio di tutte le piattaforme di sviluppo.

La sicurezza dei prodotti è stata inoltre verificata da NCC Group, IOActive, CrowdStrike e Mandiant, che non hanno rilevato inserimenti di codice malevolo nei pacchetti distribuiti ai clienti.

Parallelamente alla divulgazione pubblica - ritardata su richiesta del Dipartimento di Giustizia USA per motivi di sicurezza nazionale - F5 ha rilasciato patch per 44 vulnerabilità riguardanti BIG-IP, BIG-IP Next per Kubernetes, F5OS, BIG-IQ e APM Client. Gli aggiornamenti includono le correzioni per i bug sottratti dagli attaccanti.

Negli Stati Uniti, la CISA ha emesso la direttiva d'emergenza ED 26-01, imponendo alle agenzie federali di installare le patch F5 entro il 22 ottobre (o il 31 per i sistemi non critici) e di dismettere i dispositivi fuori supporto. Il National Cyber Security Centre del Regno Unito ha pubblicato indicazioni simili, raccomandando di verificare la presenza di interfacce di gestione esposte su Internet e di monitorare tentativi di login sospetti.

Contestualmente, F5 ha fornito ai clienti una guida di threat hunting dedicata al malware "Brickstorm", collegato al gruppo UNC5221, identificato da Mandiant come attore di spionaggio con legami cinesi attivo dal 2023. Tale gruppo è noto per sottrarre codice sorgente da fornitori di tecnologia e utilizzarlo per individuare nuove vulnerabilità da sfruttare contro i loro clienti.