サイバーセキュリティ企業のF5は、2025年8月9日に発見された侵害で盗まれたBIG-IPの脆弱性に対処するためのセキュリティアップデートをリリースした。
同社は本日、国家ハッカーが同社のシステムに侵入し、ソースコードと非公開のBIG-IPセキュリティ欠陥に関する情報を盗んだことを明らかにした。
F5は、脅威行為者が未公開の脆弱性を攻撃に活用した証拠はないと付け加え、欠陥が公開された証拠はまだ見つかっていないと述べた。
F5は本日、44件の脆弱性(今回の侵害で盗まれた脆弱性を含む)に対応するパッチを発行し、顧客に早急にシステムをアップデートするよう促した。F5は、”本日のセキュリティアップデートは、インシデントによる影響に対処している “ことを確認した。
「BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ、およびAPMクライアント向けのアップデートは現在利用可能です。公表されていない致命的な脆弱性やリモートコード実行の脆弱性については把握していませんが、できるだけ早くBIG-IPソフトウェアをアップデートすることを強くお勧めします。
「ソースコード、ビルドおよびリリースパイプラインを含む、当社のソフトウェアサプライチェーンに改変が加えられた形跡はなく、F5の未公開の脆弱性が積極的に悪用されていることも認識していません。
F5はまた、サイバー攻撃からF5環境を保護するためのガイダンスを発表し、これには2025年10月のセキュリティアップデートのリリースが含まれるとしている。
同社は管理者に対し、セキュリティ情報およびイベント管理(SIEM)ソフトウェアへのBIG-IPイベントストリーミングを有効にすること、リモートsyslogサーバを構成すること、ログイン試行を監視して可視性を高め、管理者ログイン、認証失敗、権限および構成の変更に関するアラートを受信することを助言した。
連邦政府機関に BIG-IP パッチの導入を命令
水曜日、CISAはED 26-01緊急指令を発表し、10月22日までに最新のF5パッチをインストールすることで、F5OS、BIG-IP TMOS、BIG-IQ、およびBNK/CNF製品のセキュリティを確保するよう、連邦民間行政機関(FCEB)に命じました。ネットワーク上の他のすべてのF5ハードウェアおよびソフトウェア・アプライアンスについては、期限を10月31日まで延長する。
米国のサイバーセキュリティ機関はまた、連邦政府機関に対し、サポートが終了したすべてのパブリック向けF5デバイスを切断し、廃棄するよう指示した。
「CISAは、連邦民間行政機関(FCEB)に対し、F5 BIG-IP製品のインベントリを作成し、ネットワーク管理インターフェイスが公衆インターネットからアクセス可能かどうかを評価し、F5からのアップデートを適用するよう指示している」とCISAは述べている。
脆弱性のあるBIG-IPアプライアンスを悪用することに成功すると、攻撃者は認証情報やアプリケーション・プログラミング・インタフェース(API)キーを盗み、標的のネットワーク内で横方向に移動し、機密データを盗み、侵害されたデバイス上で永続性を確立することができます。
BIG-IPの脆弱性は、国家やサイバー犯罪の脅威グループにとって価値の高いターゲットであり、長年にわたり、内部サーバーのマッピング、密かなデータ窃取、被害者のネットワーク上のデバイスの乗っ取り、データ・ワイパーのプッシュ、企業ネットワークの侵害などに悪用されてきました。
F5は、サイバーセキュリティ、クラウド管理、アプリケーション・デリバリ・ネットワーキング(ADN)サービスを、世界中の23,000を超える顧客と、フォーチュン50社のうち48社に提供している、フォーチュン500に名を連ねる巨大企業である。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
パイカス・ブルー・レポート2025年版はこちらパスワード・クラッキングが2倍増加
46%の環境でパスワードがクラックされ、昨年の25%からほぼ倍増。
今すぐPicus Blue Report 2025を入手して、予防、検出、データ流出の傾向に関するその他の調査結果を包括的にご覧ください。
Comments