中国黑客的网络攻击，F5网络入侵的背景是什么？美英警告中隐藏的风险

1) 发生了什么

美国西雅图的F5公司于10月15日公布了一起由国家级敌对行为者实施的入侵事件。泄露内容包括BIG-IP的一部分源代码和未公开的漏洞信息，以及部分客户的配置和部署信息。虽然未检测到供应链的篡改，但攻击者获得“设计图”可能加速零日漏洞的开发，这是最大的担忧。 The Hacker News

美国CISA发布了紧急指令ED-26-01，要求联邦机构立即进行清查、更新和隔离。设定期限的强硬措辞显示了政府网络“前线设备”遭受直接打击的严重性。 CISA

2) 时间线（以UTC为准的主要日期）

• 2025年8月9日：F5首次识别到可疑访问。随后，投入外部取证。 Rapid7

• 2025年9月12日：美国司法部（DoJ）根据SEC新规则允许公布延期。出于国家安全原因。 CBS新闻

• 2025年10月15日：F5提交并公布Form 8-K和披露文件。同日，CISA发布ED-26-01。 SEC

• 应对期限：大多数F5产品需在10月22日前更新，其余需在10月31日前更新，10月29日前提交报告，12月3日前提交完整清查（针对联邦机构）。 nuharborsecurity.com

3) 被窃取的范围

F5承认开发和知识系统被长期访问，以及部分客户的配置数据泄露。强调未发现对构建系统或分发物的篡改。然而，源代码和漏洞信息的泄露，使得攻击方可以通过静态和动态分析进行漏洞挖掘，后续零日漏洞的增加令人担忧。 BleepingComputer

根据报道，潜伏时间超过12个月，并有中国参与的猜测。然而，F5和CISA尚未正式确定来源。 Reuters

4) 对产业的影响—是否达到“SolarWinds级别”？

F5被用于大多数财富500强企业和美国政府网络，作为负载均衡器、WAF和网关，承担着“流量交汇点”的角色。交汇点的设计图一旦泄露，基于现有操作的精准入侵将变得容易。专家指出，这一风险与2020年的SolarWinds相当。 Reuters

5) 美英当局的行动

CISA的ED-26-01指令要求资产清查、管理面的隔离（禁止外部管理）、应用更新、EoL设备的断开等措施。英国NCSC也确认了F5网络的入侵，并敦促应用最新更新。 CISA

6) 社交媒体的反应（要点）

• Tenable CSO的Bob Huber称其为“five-alarm fire（五级警报火灾）”。作为国家安全的重大事件，呼吁紧急响应。 Tenable®

• Zscaler引用CISA的紧急指令，强调源代码和敏感数据泄露的严重性。 X (formerly Twitter)

• Censys认为存在“高风险的武器化”，建议立即切断连接管理面并进行更新。 X (formerly Twitter)

• 安全媒体（The Hacker News、SC Media）也迅速传播了消息，重申了联邦指令和BIG-IP源代码泄露。 X (formerly Twitter)

• 投资和市场界（Seeking Alpha的帖子）也讨论了$FFIV和安全股票的联想。 X (formerly Twitter)

※引用仅限于短句，并总结了各发布的上下文。

7) 为实务者准备的“即时响应”检查清单

(A) 曝露的隔离（今天）

1. 将管理面（mgmt/GUI/SSH/TMUI）的外部曝露降为0，仅限于跳板/VPN访问。

2. 将EoL/EoS设备从网络中断开，并计划更换为后继设备。 CISA

(B) 更新和加固（至10/22、10/31）
3. 在10/22、10/31期限内更新BIG-IP / F5OS / BIG-IQ / APM客户端等。应用内核、签名和攻击缓解设置。 nuharborsecurity.com
4. 检查并缓解与Cookie/会话相关的已知问题，确保没有旧的TMUI曝露。 The Hacker News

(C) 检测与封锁（本周）
5. 在过去12至18个月的日志中，寻找开发和管理面的异常、未知IP的长期停留、认证令牌滥用。
6. 轮换凭证和API密钥（包括BIG-IP关联方）。
7. 重新设计分段：根据LTM/ASM/AFM/Access的角色重新审视边界。
8. 有报告义务的组织需为10/29和12/3的CISA提交做好准备，保留完整清查和纠正记录（针对相关机构）。 nuharborsecurity.com