การโจมตีทางไซเบอร์โดยแฮกเกอร์ชาวจีน: เบื้องหลังการบุกรุกเครือข่าย F5 และความเสี่ยงที่ซ่อนอยู่ในคำเตือนของสหรัฐฯ และอังกฤษ

1) เกิดอะไรขึ้น

F5 ในซีแอตเทิล สหรัฐอเมริกา ได้ประกาศเมื่อวันที่ 15 ตุลาคม ว่ามีการละเมิดโดยผู้ไม่ประสงค์ดีในระดับประเทศ ข้อมูลที่รั่วไหลรวมถึงบางส่วนของซอร์สโค้ดของ BIG-IPและข้อมูลช่องโหว่ที่ยังไม่เปิดเผย รวมถึงข้อมูลการกำหนดค่าและการติดตั้งของลูกค้าบางราย แม้จะยังไม่พบการปลอมแปลงในห่วงโซ่อุปทาน แต่ความกังวลหลักคือการที่ผู้โจมตีได้รับ "แผนผัง" ซึ่งอาจเร่งการพัฒนา Zero Day ได้ The Hacker News

CISA ของสหรัฐอเมริกาได้ออกคำสั่งฉุกเฉิน ED-26-01 สั่งให้หน่วยงานของรัฐบาลกลางทำการตรวจสอบ สั่งอัพเดต และแยกออกทันที คำสั่งที่มีการกำหนดเส้นตายอย่างเข้มงวดนี้แสดงถึงความรุนแรงของการโจมตีที่เกิดขึ้นกับ "อุปกรณ์แนวหน้า" ของเครือข่ายรัฐบาล CISA

2) ไทม์ไลน์ (วันที่สำคัญตามเวลา UTC)

• 9 สิงหาคม 2025: F5 รับรู้การเข้าถึงที่น่าสงสัยเป็นครั้งแรก หลังจากนั้นได้มีการใช้การตรวจสอบจากภายนอก Rapid7

• 12 กันยายน 2025: กระทรวงยุติธรรมสหรัฐอเมริกา (DoJ) อนุญาตให้มีการเลื่อนการประกาศตามกฎใหม่ของ SEC ด้วยเหตุผลด้านความมั่นคงของชาติ CBS ข่าว

• 15 ตุลาคม 2025: F5 ยื่นและประกาศForm 8-K และเอกสารการเปิดเผยข้อมูล ในวันเดียวกัน CISA ได้ออกED-26-01 SEC

• กำหนดเส้นตายในการตอบสนอง: ผลิตภัณฑ์ F5 หลายรายการต้องอัพเดตภายใน22 ตุลาคม ส่วนที่เหลือต้องอัพเดตภายใน31 ตุลาคม ต้องยื่นรายงานภายใน29 ตุลาคม และต้องยื่นการตรวจสอบทั้งหมดภายใน3 ธันวาคม (สำหรับหน่วยงานรัฐบาลกลาง) nuharborsecurity.com

3) ข้อมูลที่ถูกขโมยไปมีอะไรบ้าง

F5 ยอมรับว่ามีการเข้าถึงระบบพัฒนาและความรู้เป็นเวลานาน และมีการรั่วไหลของข้อมูลการกำหนดค่าของลูกค้าบางราย โดยย้ำว่าไม่มีการปลอมแปลงระบบการสร้างหรือการแจกจ่าย อย่างไรก็ตาม การรั่วไหลของซอร์สโค้ดและข้อมูลช่องโหว่ทำให้การค้นหาช่องโหว่ด้วยการวิเคราะห์แบบสถิตและไดนามิกตกอยู่ในมือของผู้โจมตี และมีความกังวลเกี่ยวกับการเพิ่มขึ้นของ Zero Day BleepingComputer

ตามรายงานข่าว มีการแฝงตัวนานกว่า12 เดือน และมีการคาดการณ์ว่าจีนมีส่วนเกี่ยวข้อง อย่างไรก็ตามF5 และ CISA ยังไม่ได้ระบุแหล่งที่มาอย่างเป็นทางการ Reuters

4) ผลกระทบต่ออุตสาหกรรม—จะเป็นระดับ "SolarWinds" หรือไม่?

F5 ถูกใช้ในส่วนใหญ่ของ Fortune 500 และเครือข่ายรัฐบาลสหรัฐอเมริกา ทำหน้าที่เป็นตัวจัดการโหลด, WAF, และเกตเวย์ ซึ่งเป็น "จุดตัดของทราฟฟิก" หากแผนผังของจุดตัดถูกเปิดเผย การเจาะจงเข้าไปในระบบที่มีอยู่จะง่ายขึ้น ผู้เชี่ยวชาญบางคนชี้ถึงความเสี่ยงที่เทียบเท่ากับSolarWinds ในปี 2020 Reuters

5) การเคลื่อนไหวของหน่วยงานสหรัฐและอังกฤษ

ED-26-01 ของ CISA บังคับให้มีการตรวจสอบสินทรัพย์, การบล็อกการจัดการ (ห้ามการจัดการจากภายนอก), การอัพเดต, การแยกเครื่องที่หมดอายุการใช้งาน NCSC ของสหราชอาณาจักรก็ยืนยันการละเมิดเครือข่าย F5 และกระตุ้นให้มีการอัพเดตล่าสุด CISA

6) ปฏิกิริยาบนโซเชียลมีเดีย (สรุป)

• Bob Huber, CSO ของ Tenable อธิบายว่าเป็น "five-alarm fire" เรียกร้องให้มีการตอบสนองฉุกเฉินเนื่องจากเป็นเรื่องสำคัญด้านความมั่นคงของชาติ Tenable®

• Zscaler อ้างถึงคำสั่งฉุกเฉินของ CISA และเน้นถึงความรุนแรงของการรั่วไหลของซอร์สโค้ดและข้อมูลที่สำคัญ X (formerly Twitter)

• Censys ระบุว่าเป็น "ความเสี่ยงสูงต่อการถูกใช้เป็นอาวุธ" และแนะนำให้บล็อกการจัดการการเชื่อมต่อทันทีและอัพเดต X (formerly Twitter)

• สื่อด้านความปลอดภัย (The Hacker News, SC Media) ก็ได้กระจายข่าวด่วนและย้ำถึงคำสั่งสำหรับรัฐบาลกลางและการรั่วไหลของซอร์สโค้ดของ BIG-IP X (formerly Twitter)

• ในวงการการลงทุนและตลาด (โพสต์จากSeeking Alpha) ก็มีการพูดถึง$FFIVและการเชื่อมโยงกับหุ้นด้านความปลอดภัย X (formerly Twitter)

※การอ้างอิงจะสั้นและสรุปบริบทของแต่ละโพสต์

7) เช็คลิสต์ "การตอบสนองทันที" สำหรับผู้ปฏิบัติงาน

(A) การบล็อกการเปิดเผย (วันนี้)

1. บล็อกการเปิดเผยภายนอกของการจัดการ (mgmt/GUI/SSH/TMUI) จำกัดให้ผ่านแค่ VPN หรือเครื่องที่ได้รับอนุญาตเท่านั้น

2. แยกเครื่องที่หมดอายุการใช้งาน (EoL/EoS) ออกจากเครือข่าย และวางแผนเปลี่ยนไปใช้เครื่องใหม่ CISA

(B) การอัพเดตและการทำให้แข็งแกร่งขึ้น (ถึง 22/10 และ 31/10)
3. อัพเดต BIG-IP / F5OS / BIG-IQ / APM Client ภายในวันที่ 22/10 และ 31/10 รวมถึงการตั้งค่าการลดการโจมตีและการลงนาม nuharborsecurity.com
4. ตรวจสอบการตั้งค่าการลดปัญหาที่เกี่ยวข้องกับ Cookie/Session และการเปิดเผย TMUI เก่า The Hacker News

(C) การตรวจจับและการควบคุม (สัปดาห์นี้)
5. ตรวจสอบบันทึกย้อนหลัง 12-18 เดือน เพื่อหาการเข้าถึงที่ผิดปกติในด้านการพัฒนาและการจัดการ, การอยู่ในระบบของ IP ที่ไม่รู้จักเป็นเวลานาน, การใช้โทเค็นการยืนยันตัวตนที่ผิดปกติ 6.
เปลี่ยนแปลงข้อมูลรับรองและคีย