Selon BleepingComputer, F5 a publié des mises à jour de sécurité destinées à corriger des vulnérabilités affectant BIG‑IP, après que ces failles ont été volées lors d’une intrusion détectée le 9 août 2025.
🔒 F5 publie des correctifs de sécurité après le vol de failles BIG-IP
La société de cybersécurité F5 a publié des mises à jour pour corriger 44 vulnérabilités, dont certaines avaient été dérobées lors d’une cyberattaque détectée le 9 août 2025. L’entreprise a confirmé que des hackers soutenus par un État ont accédé à ses systèmes et volé du code source ainsi que des informations sur des failles de sécurité non divulguées affectant les produits BIG-IP.
F5 indique n’avoir trouvé aucune preuve que ces vulnérabilités aient été exploitées ni divulguées publiquement. Les correctifs concernent BIG-IP, F5OS, BIG-IP Next pour Kubernetes, BIG-IQ et les clients APM, et F5 recommande à ses clients de mettre à jour leurs systèmes sans délai.
« Nous n’avons aucune preuve de compromission de notre chaîne d’approvisionnement logicielle ni d’exploitation active de failles F5 non divulguées », a déclaré l’entreprise à BleepingComputer.
Pour renforcer la sécurité, F5 conseille aux administrateurs d’activer la diffusion d’événements BIG-IP vers un SIEM, de configurer un serveur syslog distant et de surveiller les connexions administratives et les échecs d’authentification afin de détecter toute activité suspecte.
Mercredi, la CISA a publié la directive d’urgence ED 26-01, ordonnant aux agences fédérales américaines de corriger les produits F5 affectés avant le 22 octobre. Les autres appareils F5 doivent être mis à jour avant le 31 octobre, et tous les équipements arrivés en fin de support doivent être déconnectés et mis hors service.
Les vulnérabilités BIG-IP restent des cibles de choix pour les groupes d’espionnage et de cybercriminalité, permettant le vol d’identifiants et de clés API, la mouvement latéral dans les réseaux, l’exfiltration de données sensibles ou l’installation de malwares persistants.
F5, entreprise du Fortune 500, fournit des services de cybersécurité et de gestion cloud à plus de 23 000 clients dans 170 pays, dont 48 des 50 plus grandes entreprises mondiales.
Type d’article: patch de sécurité; objectif principal: annoncer la publication de mises à jour pour corriger des vulnérabilités BIG‑IP liées à un incident précédemment détecté.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/f5-releases-big-ip-patches-for-stolen-security-vulnerabilities/