A empresa norte-americana F5, especializada em soluções de segurança digital e infraestrutura de aplicações, confirmou nesta quarta-feira (15) ter sido alvo de um ataque cibernético altamente sofisticado, atribuído a um agente de ameaça supostamente patrocinado por um Estado-nação. O incidente, descoberto em agosto deste ano, resultou no acesso e exploração de arquivos de determinados sistemas internos da companhia. Segundo a Agência Reuters, as autoridades do governo dos Estados Unidos afirmaram que as redes federais foram alvo do “agente de ameaça cibernética”.
De acordo com a notícia, em um comunicado e uma diretiva de emergência divulgados, a Agência de Segurança Cibernética e de Infraestrutura (CISA) alertou que cibercriminosos comprometeram os sistemas da empresa e conseguiram extrair arquivos, como parte do código-fonte e informações sobre vulnerabilidades. A CISA afirmou que esses dados permitem guiar os criminosos para invadir o sistema digital e os dispositivos da empresa, podendo levar à violação total das informações sensíveis.
Como resposta imediata, a F5 anunciou uma série de atualizações de segurança para seus principais produtos: BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ e clientes APM. As atualizações estão disponíveis desde o início de outubro e visam reforçar a proteção contra potenciais riscos decorrentes do ataque. Além disso, a empresa fechou a parceria com a CrowdStrike e Mandiant para apoiar o processo de investigação e mitigação, em cooperação com autoridades policiais e agências governamentais.
A empresa informou que está disponibilizando ferramentas e orientações de segurança para auxiliar os clientes a protegerem seus ambientes. Entre elas, um guia de busca de ameaças, práticas recomendadas de reforço de segurança com verificação automatizada via F5 iHealth Diagnostic Tool e instruções detalhadas para integração com sistemas de monitoramento SIEM.
Em comunicado oficial divulgado, a F5 afirmou que adotou medidas extensivas para conter o invasor e que, desde o início das ações de resposta, não foram registradas novas atividades não autorizadas. “Tomamos, e continuaremos tomando, medidas significativas para proteger os clientes, corrigir essa ameaça e fortalecer a segurança de nossa infraestrutura corporativa e de produtos”, declarou a empresa.
A Security Report disponibiliza a nota oficial da F5 sobre o incidente cibernético:
“Gostaríamos de compartilhar informações com você sobre as medidas que tomamos para resolver um incidente de segurança na F5 e nossos esforços contínuos para proteger nossos clientes.
Em agosto de 2025, soubemos que um agente de ameaça altamente sofisticado, de origem estatal, mantinha acesso persistente e de longo prazo a determinados sistemas F5 e baixava arquivos deles. Esses sistemas incluíam nosso ambiente de desenvolvimento de produtos BIG-IP e plataformas de gerenciamento de conhecimento de engenharia. Tomamos medidas abrangentes para conter o agente de ameaça. Desde o início dessas atividades, não registramos nenhuma nova atividade não autorizada e acreditamos que nossos esforços de contenção foram bem-sucedidos.
Em resposta a este incidente, estamos tomando medidas proativas para proteger nossos clientes e fortalecer a postura de segurança de nossos ambientes corporativos e de produtos. Contratamos a CrowdStrike, a Mandiant e outros especialistas líderes em segurança cibernética para apoiar este trabalho, e estamos ativamente engajados com as autoridades policiais e nossos parceiros governamentais.
Lançamos atualizações para BIG-IP, F5OS, BIG-IP Next para Kubernetes, BIG-IQ e clientes APM. Mais informações podem ser encontradas em nossa Notificação de Segurança Trimestral de outubro de 2025. Recomendamos fortemente a atualização para essas novas versões o mais breve possível .
O que sabemos
Neste momento, com base em nossa investigação dos registros disponíveis:
Confirmamos que o agente da ameaça extraiu arquivos do nosso ambiente de desenvolvimento de produtos BIG-IP e das plataformas de gerenciamento de conhecimento de engenharia. Esses arquivos continham parte do nosso código-fonte BIG-IP e informações sobre vulnerabilidades não divulgadas nas quais estávamos trabalhando no BIG-IP. Não temos conhecimento de vulnerabilidades críticas ou remotas de código não divulgadas, e não temos conhecimento de exploração ativa de quaisquer vulnerabilidades F5 não divulgadas.
Não temos evidências de acesso ou exfiltração de dados de nossos sistemas de CRM, financeiro, de gerenciamento de casos de suporte ou iHealth. No entanto, alguns dos arquivos exfiltrados de nossa plataforma de gestão do conhecimento continham informações de configuração ou implementação de uma pequena porcentagem de clientes. Estamos atualmente revisando esses arquivos e entraremos em contato diretamente com os clientes afetados, conforme apropriado.
Não temos evidências de modificações em nossa cadeia de suprimentos de software, incluindo nosso código-fonte e nossos pipelines de construção e lançamento. Esta avaliação foi validada por meio de análises independentes pelas principais empresas de pesquisa em segurança cibernética, NCC Group e IOActive.
Não temos evidências de que o agente da ameaça acessou ou modificou o código-fonte ou o ambiente de desenvolvimento do produto NGINX, nem temos evidências de que ele acessou ou modificou nossos serviços de nuvem distribuída F5 ou sistemas Silverline.
O que você pode fazer
Nossa prioridade agora é ajudar você a fortalecer e proteger seu ambiente F5 contra os riscos deste incidente. Estamos disponibilizando diversos recursos para auxiliar você a tomar as medidas necessárias:
Atualizações para o software BIG-IP . Atualizações para BIG-IP, F5OS, BIG-IP Next para Kubernetes, BIG-IQ e clientes APM já estão disponíveis. Embora não tenhamos conhecimento de vulnerabilidades críticas ou de execução remota de código não divulgadas, recomendamos fortemente que você atualize seu software BIG-IP o mais rápido possível . Mais informações sobre essas atualizações podem ser encontradas na Notificação de Segurança Trimestral .
Inteligência de ameaças . Um guia de busca de ameaças para fortalecer a detecção e o monitoramento em seu ambiente está disponível no suporte da F5.
Orientações de reforço com verificação . Publicamos as melhores práticas para reforçar seus sistemas F5 e adicionamos verificações de reforço automatizadas à Ferramenta de Diagnóstico iHealth F5 . Esta ferramenta identificará lacunas, priorizará ações e fornecerá links para orientações de correção.
Orientações sobre integração e monitoramento do SIEM . Recomendamos habilitar o streaming de eventos BIG-IP no seu SIEM e fornecer instruções passo a passo para configuração do syslog ( KB13080 ) e monitoramento de tentativas de login ( KB13426 ). Isso aumentará sua visibilidade e alertará sobre logins de administrador, autenticações com falha e alterações de privilégios e configurações.
Nossa equipe de suporte global está disponível para ajudar. Você pode abrir um chamado de suporte MyF5 ou entrar em contato diretamente com o suporte da F5 para obter ajuda na atualização do seu software BIG-IP, na implementação de qualquer uma dessas etapas ou para esclarecer quaisquer dúvidas que você possa ter. Manteremos esta página atualizada com novas informações e recursos.
O que estamos fazendo
Tomamos e continuaremos a tomar medidas significativas para proteger os clientes, remediando essa ameaça e fortalecendo a segurança da nossa infraestrutura principal de produtos e empresas.
Desde que iniciamos nossos esforços de resposta a incidentes, nós:
Credenciais rotacionadas e controles de acesso reforçados em todos os nossos sistemas.
Implantou automação aprimorada de gerenciamento de inventário e patches, bem como ferramentas adicionais para monitorar, detectar e responder melhor às ameaças.
Implementamos melhorias em nossa arquitetura de segurança de rede.
Fortalecemos nosso ambiente de desenvolvimento de produtos, incluindo o fortalecimento dos controles de segurança e o monitoramento de todas as plataformas de desenvolvimento de software.
Estamos tomando medidas adicionais para fortalecer ainda mais a segurança dos nossos produtos:
Revisão contínua de código e testes de penetração de nossos produtos com suporte do NCC Group e da IOActive para identificar e corrigir vulnerabilidades em nosso código.
Em parceria com a CrowdStrike, os sensores Falcon EDR e o Overwatch Threat Hunting serão estendidos ao BIG-IP para maior visibilidade e fortalecimento das defesas. Uma versão de acesso antecipado estará disponível para clientes do BIG-IP, e a F5 oferecerá a todos os clientes com suporte uma assinatura gratuita do Falcon EDR.
Sua confiança é importante. Sabemos que ela é conquistada todos os dias, especialmente quando as coisas dão errado. Lamentamos profundamente que este incidente tenha ocorrido e o risco que ele pode representar para você. Estamos comprometidos em aprender com este incidente e compartilhar essas lições com a comunidade de segurança em geral.”
*Com informações da Agência Reuters
