La società statunitense di cybersecurity F5 ha annunciato di aver subito una grave violazione della sicurezza, durante la quale attori malevoli sono riusciti a sottrarre file contenenti il codice sorgente del prodotto BIG-IP e informazioni su vulnerabilità non ancora rese pubbliche. L’attacco è stato attribuito a un gruppo avanzato sponsorizzato da uno Stato nazionale, che è riuscito a mantenere un accesso persistente e prolungato alla rete interna della compagnia. La scoperta della violazione è avvenuta il 9 agosto 2025 e F5 ha dichiarato di aver intrapreso azioni significative per contenere la minaccia, affermando che al momento non sono state rilevate ulteriori attività non autorizzate.

F5 non ha specificato la durata esatta dell’accesso da parte degli attaccanti, ma ha sottolineato che non ci sono evidenze di sfruttamento attivo delle vulnerabilità sottratte. Inoltre, i sistemi critici come CRM, gestione finanziaria e supporto clienti non sarebbero stati compromessi. Tuttavia, alcuni file esfiltrati potrebbero contenere informazioni di configurazione o implementazione relative a una piccola percentuale di clienti, che saranno avvisati direttamente.

Per rispondere all’incidente, F5 si è affidata a società specializzate come Google Mandiant e CrowdStrike, ha aggiornato le credenziali, rafforzato i controlli di accesso e potenziato la sicurezza della propria infrastruttura di sviluppo. Agli utenti viene raccomandato di applicare quanto prima gli aggiornamenti più recenti per i prodotti BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ e APM, al fine di garantire la massima protezione.

Azione della CISA e rischi potenziali

A seguito della divulgazione dell’accaduto, la CISA statunitense ha emesso una direttiva di emergenza, imponendo alle agenzie federali di identificare tutti i dispositivi F5 BIG-IP presenti nelle proprie reti, verificarne l’accessibilità da internet e applicare tempestivamente gli aggiornamenti di sicurezza. Secondo CISA, la sottrazione del codice sorgente e di informazioni sulle vulnerabilità conferisce agli attori malevoli un vantaggio tecnico significativo, aumentando il rischio di sfruttamento e sviluppo di exploit mirati, inclusi potenziali attacchi zero-day.

Secondo una successiva inchiesta, gli attaccanti sarebbero rimasti nella rete F5 per almeno 12 mesi utilizzando la backdoor BRICKSTORM, riconducibile a un gruppo di cyberspionaggio legato alla Cina noto come UNC5221. Questo gruppo aveva già preso di mira aziende nei settori legali, SaaS, BPO e tecnologici statunitensi. Il furto di informazioni su vulnerabilità non ancora patchate rappresenta un rischio potenziale, accelerando la creazione di exploit prima che le patch siano rese pubbliche.