F5 victime d’un piratage par un groupe étatique : vol de code source et de failles BIG-IP non divulguées
La société américaine F5, spécialisée dans la cybersécurité et les solutions de gestion d’applications (Application Delivery Networking), a confirmé avoir été piratée par un groupe de hackers soutenu par un État.
Les attaquants ont accédé à son environnement de développement BIG-IP et ont volé du code source ainsi que des informations sur des vulnérabilités non encore divulguées.
Intrusion confirmée et données compromises
F5 a détecté la compromission le 9 août 2025. L’enquête interne a révélé une présence prolongée des pirates dans les systèmes, notamment au sein de la plateforme de gestion des connaissances techniques et de l’environnement de développement de produits.
Les fichiers exfiltrés comprenaient des portions du code source BIG-IP, des informations techniques sur des vulnérabilités inédites, ainsi que des détails de configuration pour un nombre limité de clients.
L’entreprise affirme toutefois n’avoir trouvé aucune preuve d’exploitation active ni de publication de ces données, et insiste sur le fait que la chaîne d’approvisionnement logicielle n’a pas été compromise.
Produits et services non affectés
F5 précise que les plateformes clientes, notamment NGINX, F5 Distributed Cloud Services, Silverline, et les systèmes de gestion comme CRM, iHealth ou support, ne sont pas concernés.
Le code source de ces solutions est resté intact, selon des audits indépendants menés par NCC Group, IOActive, CrowdStrike et Mandiant.
Mesures correctives et audits renforcés
Après la découverte de l’intrusion, F5 a entrepris plusieurs actions :
- Rotation des identifiants et des certificats cryptographiques utilisés pour signer les produits ;
- Renforcement des contrôles d’accès et de la surveillance réseau ;
- Sécurisation de l’environnement de développement et révision complète du code source ;
- Amélioration des capacités de détection et de réponse via de nouveaux outils d’automatisation et de gestion des correctifs.
Les audits du NCC Group ont impliqué 76 experts analysant les composants critiques de BIG-IP, tandis que IOActive poursuit encore son évaluation — aucune trace de modification malveillante n’a été détectée.
Conseils de sécurité aux clients F5
F5 a publié des mises à jour logicielles pour BIG-IP, F5OS, BIG-IQ, et BIG-IP Next pour Kubernetes, incluant des correctifs pour les vulnérabilités potentiellement exposées.
L’entreprise recommande de :
- Installer sans délai les dernières mises à jour de sécurité ;
- Vérifier que les interfaces de gestion ne soient pas exposées sur Internet ;
- Activer la journalisation vers un serveur SIEM externe et surveiller les connexions suspectes ;
- Utiliser l’outil iHealth Diagnostic Tool mis à jour, capable de signaler automatiquement les vulnérabilités et priorités de remédiation.
Les agences CISA (États-Unis) et NCSC (Royaume-Uni) ont publié des recommandations similaires.
F5 a différé l’annonce publique de l’incident à la demande du département américain de la Justice, afin de permettre la sécurisation des infrastructures critiques.
L’entreprise assure que tous ses services restent opérationnels et sécurisés, sans impact significatif sur ses activités.
Type d’article: Annonce d’incident visant à informer d’une compromission et d’un vol d’actifs sensibles liés à BIG‑IP.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/hackers-breach-f5-to-steal-undisclosed-big-ip-flaws-source-code/