VietNetwork.Vn

Công ty an ninh mạng F5 của Hoa Kỳ hôm thứ Tư tiết lộ rằng những kẻ tấn công không xác định đã đột nhập vào hệ thống của công ty và đánh cắp các tệp chứa một số mã nguồn của BIG-IP và thông tin liên quan đến các lỗ hổng chưa được tiết lộ trong sản phẩm.

Công ty cho biết hoạt động này là do một "tác nhân đe dọa quốc gia cực kỳ tinh vi" thực hiện, đồng thời cho biết thêm rằng kẻ tấn công đã duy trì quyền truy cập lâu dài và liên tục vào mạng lưới của mình. Công ty cho biết họ đã biết về vụ xâm nhập vào ngày 9 tháng 8 năm 2025, theo Mẫu 8-K nộp lên Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC).


"Chúng tôi đã thực hiện nhiều biện pháp mạnh mẽ để ngăn chặn tác nhân đe dọa này", thông cáo cho biết. "Kể từ khi bắt đầu các hoạt động này, chúng tôi chưa thấy bất kỳ hoạt động trái phép nào mới, và chúng tôi tin rằng những nỗ lực ngăn chặn của chúng tôi đã thành công."

F5 không cho biết kẻ tấn công đã truy cập vào môi trường phát triển sản phẩm BIG-IP của họ trong bao lâu, nhưng nhấn mạnh rằng họ chưa thấy bất kỳ dấu hiệu nào cho thấy các lỗ hổng đã bị khai thác trong bối cảnh độc hại. Họ cũng cho biết những kẻ tấn công không truy cập vào hệ thống CRM, tài chính, quản lý trường hợp hỗ trợ hoặc iHealth của họ.

Tuy nhiên, công ty thừa nhận rằng một số tệp bị rò rỉ từ nền tảng quản lý kiến thức của mình chứa thông tin cấu hình hoặc triển khai của một tỷ lệ nhỏ khách hàng. Những khách hàng bị ảnh hưởng dự kiến sẽ được thông báo trực tiếp sau khi xem xét các tệp này.

Sau khi phát hiện ra sự cố, F5 đã sử dụng dịch vụ của Google Mandiant và CrowdStrike, cũng như luân chuyển thông tin xác thực và chứng chỉ và khóa chữ ký, tăng cường kiểm soát truy cập, triển khai công cụ để giám sát các mối đe dọa tốt hơn, củng cố môi trường phát triển sản phẩm của mình bằng các biện pháp kiểm soát bảo mật bổ sung và thực hiện các cải tiến cho kiến trúc bảo mật mạng của mình.

Người dùng được khuyên nên áp dụng các bản cập nhật mới nhất cho BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ và máy khách APM càng sớm càng tốt để có khả năng bảo vệ tối ưu.

Để ứng phó với tiết lộ của F5, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã ban hành chỉ thị khẩn cấp ( ED 26-01 ) yêu cầu các cơ quan thuộc nhánh hành pháp dân sự liên bang phải kiểm kê các sản phẩm F5 BIG-IP, kiểm tra xem các giao diện quản lý mạng có thể truy cập được từ Internet công cộng hay không và áp dụng các bản cập nhật mới phát hành từ F5 trước ngày 22 tháng 10 năm 2025.

"Một tác nhân đe dọa mạng có liên hệ với một quốc gia đã xâm nhập hệ thống F5 và đánh cắp dữ liệu, bao gồm một phần mã nguồn độc quyền của BIG-IP và thông tin về lỗ hổng bảo mật, mang lại cho tác nhân này lợi thế kỹ thuật để khai thác các thiết bị và phần mềm F5", cơ quan này cho biết. "Điều này đặt ra mối đe dọa sắp xảy ra đối với các mạng lưới liên bang sử dụng thiết bị và phần mềm F5."

"Khả năng truy cập của tác nhân đe dọa có thể cho phép thực hiện phân tích tĩnh và động để xác định các lỗi logic và lỗ hổng zero-day, cũng như khả năng phát triển các khai thác có mục tiêu."

CISA cũng kêu gọi các tổ chức tăng cường bảo mật cho các thiết bị công cộng, ngắt kết nối những thiết bị đã đến ngày hết hạn hỗ trợ và giảm thiểu lỗ hổng rò rỉ cookie BIG-IP. Tất cả các cơ quan cũng được yêu cầu nộp bản kê khai đầy đủ các sản phẩm F5 và các hành động đã thực hiện cho CISA chậm nhất là ngày 29 tháng 10 năm 2025, lúc 11:59 tối EDT.

Trong báo cáo được công bố hôm thứ Năm, Bloomberg tiết lộ rằng những kẻ tấn công đã ở trong mạng lưới của công ty trong ít nhất 12 tháng và vụ xâm nhập liên quan đến việc sử dụng một họ phần mềm độc hại có tên BRICKSTORM, được cho là của một nhóm gián điệp mạng có liên hệ với Trung Quốc được theo dõi là UNC5221.

Tháng trước, Mandiant và Google Threat Intelligence Group (GTIG) đã tiết lộ rằng các công ty trong lĩnh vực dịch vụ pháp lý, nhà cung cấp phần mềm dưới dạng dịch vụ (SaaS), công ty gia công quy trình kinh doanh (BPO) và công nghệ tại Hoa Kỳ đã bị một nhóm gián điệp mạng nghi ngờ có liên hệ với Trung Quốc nhắm mục tiêu để phát tán backdoor BRICKSTORM.

"Thông thường, nếu kẻ tấn công đánh cắp mã nguồn, sẽ mất thời gian để tìm ra các lỗ hổng có thể khai thác", Michael Sikorski, Giám đốc Công nghệ và Trưởng bộ phận Tình báo Mối đe dọa của Đơn vị 42 tại Palo Alto Networks, cho biết trong một tuyên bố. "Trong trường hợp này, chúng còn đánh cắp thông tin về các lỗ hổng chưa được tiết lộ mà F5 đang tích cực vá."

"Điều này cho phép kẻ tấn công khai thác các lỗ hổng chưa có bản vá công khai, từ đó tăng tốc độ tạo ra các lỗ hổng. Việc phát hiện 45 lỗ hổng trong quý này so với chỉ 6 lỗ hổng trong quý trước cho thấy F5 đang hành động nhanh nhất có thể để chủ động vá các lỗ hổng bị đánh cắp này trước khi kẻ tấn công có thể khai thác chúng."