Hintergrund des Cyberangriffs chinesischer Hacker auf F5-Netzwerke: Welche Risiken verbergen sich hinter den Warnungen der USA und Großbritanniens?

1) Was ist passiert?

Am 15. Oktober gab F5 aus Seattle, USA, eine Verletzung durch feindliche Akteure auf staatlicher Ebene bekannt. Der Datenverlust umfasst Teile des Quellcodes von BIG-IP, unveröffentlichte Schwachstelleninformationen sowie Konfigurations- und Implementierungsinformationen einiger Kunden. Eine Manipulation der Lieferkette wurde nicht festgestellt, aber die größte Sorge ist, dass die Angreifer durch den Erhalt der "Blaupausen" die Entwicklung von Zero-Day-Exploits beschleunigen könnten. The Hacker News

Die US-Behörde CISA hat die Notfallrichtlinie ED-26-01 herausgegeben und den Bundesbehörden eine sofortige Bestandsaufnahme, Aktualisierung und Isolierung angeordnet. Die strenge Sprache mit Fristen unterstreicht die Schwere des Vorfalls, da die "Frontgeräte" des Regierungsnetzes direkt betroffen sind. CISA

2) Zeitachse (Hauptdaten basierend auf UTC)

• 9. August 2025: F5 erkennt erstmals verdächtige Zugriffe. Anschließend wird eine externe forensische Untersuchung eingeleitet. Rapid7

• 12. September 2025: Das US-Justizministerium (DoJ) gewährt eine Veröffentlichungsaufschiebung gemäß der neuen SEC-Regelung aus Gründen der nationalen Sicherheit. CBS News

• 15. Oktober 2025: F5 reicht Formular 8-K und eine Offenlegungserklärung ein und veröffentlicht diese. Am selben Tag gibt CISA ED-26-01 heraus. SEC

• Frist für Maßnahmen: Viele F5-Produkte müssen bis zum 22. Oktober aktualisiert werden, die restlichen bis zum 31. Oktober, Berichte müssen bis zum 29. Oktober eingereicht werden, und eine vollständige Bestandsaufnahme ist bis zum 3. Dezember erforderlich (für Bundesbehörden). nuharborsecurity.com

3) Wie weit ging der Datenverlust?

F5 hat einen langfristigen Zugriff auf Entwicklungs- und Wissenssysteme sowie den Verlust von Konfigurationsdaten einiger Kunden eingeräumt. Es wird betont, dass keine Manipulation von Build-Systemen oder Verteilungen festgestellt wurde. Andererseits bedeutet der Verlust von Quellcode und Schwachstelleninformationen, dass die Entdeckung von Schwachstellen durch statische und dynamische Analyse den Angreifern überlassen wird, was zu einer Zunahme von Zero-Day-Exploits führen könnte. BleepingComputer

Laut Berichten wird eine Latenzzeit von über 12 Monaten angedeutet, und es gibt Spekulationen über eine Beteiligung Chinas. Allerdings haben weder F5 noch CISA offiziell die Herkunft bestätigt. Reuters

4) Auswirkungen auf die Industrie — "SolarWinds-Niveau"?

F5 wird in den meisten Fortune 500-Unternehmen und im US-Regierungsnetz eingesetzt und fungiert als "Verkehrsknotenpunkt" durch Load Balancer, WAF und Gateways. Wenn die Blaupausen des Verkehrsknotenpunkts verloren gehen, wird es einfacher, gezielte Angriffe basierend auf bestehenden Operationen durchzuführen. Experten weisen darauf hin, dass das Risiko mit dem von SolarWinds im Jahr 2020 vergleichbar ist. Reuters

5) Maßnahmen der US- und britischen Behörden

Die CISA-Richtlinie ED-26-01 verpflichtet zu Bestandsaufnahme, Blockierung von Verwaltungsoberflächen (Verbot der externen Verwaltung), Anwendung von Updates und Trennung von EoL-Geräten. Das britische NCSC hat ebenfalls die Verletzung des F5-Netzwerks bestätigt und drängt auf die Anwendung der neuesten Updates. CISA

6) Reaktionen in sozialen Medien (Zusammenfassung)

• Bob Huber, CSO von Tenable, bezeichnete es als "five-alarm fire" (Feuer der höchsten Alarmstufe) und forderte eine dringende Reaktion als bedeutende Bedrohung für die nationale Sicherheit. Tenable®

• Zscaler zitierte die Notfallrichtlinie von CISA und betonte die Schwere des Quellcode- und sensiblen Datenverlusts. X (formerly Twitter)

• Censys bezeichnete es als "hohes Risiko der Bewaffnung" und empfahl sofortige Blockierung von Verwaltungsoberflächen und Updates. X (formerly Twitter)

• Sicherheitsmedien (The Hacker News, SC Media) verbreiteten ebenfalls die Nachrichten und wiederholten die Anweisungen für Bundesbehörden und den BIG-IP-Quellcodeverlust. X (formerly Twitter)

• Auch in der Investment- und Marktgemeinschaft (Posting von Seeking Alpha) wurde über die Assoziationen zu $FFIV und Sicherheitsaktien spekuliert. X (formerly Twitter)

※ Die Zitate sind auf kurze Sätze beschränkt und die Kontexte der jeweiligen Beiträge zusammengefasst.

7) "Sofortige" Checkliste für Praktiker

(A) Blockierung der Exposition (Heute)

1. Externe Exposition der Verwaltungsoberflächen (mgmt/GUI/SSH/TMUI) auf 0 reduzieren und auf Sprungserver/VPN beschränken.

2. EoL/EoS-Geräte vom Netzwerk trennen und Pläne für den Ersatz durch Nachfolgegeräte erstellen. CISA

(B) Aktualisierung und Härtung (bis 22./31. Oktober)
3. BIG-IP / F5OS / BIG-IQ / APM-Clients bis zum 22./31. Oktober aktualisieren. Kernel, Signaturen und Einstellungen zur Angriffsminderung ebenfalls anwenden. nuharborsecurity.com
4. Bekannte Probleme mit Cookies/Sitzungen durch Minderungseinstellungen beheben und auf alte TMUI-Expositionen überprüfen. The Hacker News

(C) Erkennung und Eindämmung (diese Woche)
5. Logs der letzten 12 bis 18 Monate auf Anomalien in Entwicklungs- und Verwaltungsbereichen, längerfristige Aufenthalte unbekannter IPs und Missbrauch von Authentifizierungstoken untersuchen.
6. Rotation von Anmeldeinformationen und API-Schlüsseln (einschließlich BIG-IP-Verbindungen).
7. Neugestaltung der Segmentierung: Überprüfung der Grenzen nach den Rollen von LTM/ASM/AFM/Access.
8. Berichtspflichtige Organisationen sollten sich auf die CISA-Einreichung am 29. Oktober und 3. Dezember vorbereiten, indem sie eine vollständige Bestandsaufnahme und Korrekturaufzeichnungen führen (für betroffene Behörden). nuharborsecurity.com

(D) Mittel- bis langfristig (in den nächsten