Nieuws
image

F5 waarschuwt voor diefstal van broncode en niet bekendgemaakte lekken

woensdag 15 oktober 2025, 16:36 door Redactie, 15 reacties

Aanvallers zijn erin geslaagd om bij F5 broncode en informatie over niet bekendgemaakte kwetsbaarheden te stelen, zo heeft het netwerkbedrijf vandaag bekendgemaakt. Daarnaast zijn er updates voor de BIG-IP software van F5 uitgebracht. In de waarschuwing aan klanten zegt F5 dat het in augustus ontdekte dat een "zeer geraffineerde statelijke actor" langetermijntoegang tot systemen had, en er bestanden van bepaalde F5-systemen zijn gedownload.

Wat de aanvaller geraffineerd maakt en hoe die toegang tot de F5-systemen kon krijgen is niet bekendgemaakt. De getroffen systemen bevatten allerlei informatie over F5-producten. Het gaat onder andere om BIG-IP broncode en informatie over niet bekendgemaakte kwetsbaarheden in BIG-IP. F5 voegt toe dat het niet gaat om nog niet bekendgemaakte kritieke of remote code execution kwetsbaarheden en is het bedrijf niet bekend met actief misbruik van de niet bekendgemaakte F5-beveiligingslekken.

Het BIG-IP-platform van F5 wordt voor verschillende toepassingen gebruikt, zoals load balancing en application delivery. De afgelopen jaren zijn kwetsbaarheden in BIG-IP geregeld het doelwit van aanvallen geweest. F5 stelt dat er geen bewijs is aangetroffen dat de aanvallers aanpassingen aan de software supply chain hebben doorgevoerd, waaronder de broncode en de build en release pipelines. Ook zijn er geen aanwijzingen dat de aanvallers toegang hadden tot de NGINX-broncode en productieomgeving. NGINX is een platform voor het ontwikkelen van apps en api's.

Naar aanleiding van het incident heeft F5 updates voor de BIG-IP software uitgebracht en is er "Threat intelligence" voor klanten beschikbaar. Binnen de eigen organisatie heeft F5 inloggegevens gereset en access controls aangescherpt. Tevens is verbeterde inventory en patch management automation uitgerold en tooling om beter op dreigingen te monitoren. Daarnaast zijn er niet nader genoemde verbeteringen aan de netwerkbeveiligingsarchitectuur doorgevoerd en is de productontwikkelomgeving extra beveiligd.

"Bij succesvol misbruik van de getroffen F5-producten kan een aanvaller toegang tot embedded credentials en Application Programming Interface (API) keys krijgen, zich lateraal door het organisatienetwerk bewegen, data stelen en persistente systeemtoegang krijgen", aldus het Britse National Cyber Security Centre (NCSC), dat een stappenplan voor F5-klanten heeft opgesteld.

Reacties (15)
Reageer met quote
Gisteren, 16:53 door Anoniem
echt. Als ex-auditor verbaasde het me altijd hoe gemakkelijk bedrijfsgeheimen met me gedeeld werden, en hoe ik daar toegang toe kreeg. Hier, een sharepoint link naar als onze geheimen die een jaar later nog steeds werkt. Wachtwoord-eisen? hier, een overzicht van onze wachtwoorden. Een Incident management systeem? hier, toegang.

Je lijstje met nog te fixen F-ups moet je echt goed bewaken...
Reageer met quote
Gisteren, 17:47 door Anoniem
Ook zijn er geen aanwijzingen dat de aanvallers toegang hadden tot de NGINX-broncode en productieomgeving. NGINX is een platform voor het ontwikkelen van apps en api's.

Ik maar denken dat NGINX een reverse proxy/load balancer is, die je bijvoorbeeld kunt gebruiken voor ingress beperking en het tegenhouden van actoren voor bekende lekken.
Reageer met quote
Gisteren, 19:36 door Anoniem
Aanvallers zijn erin geslaagd om bij F5 broncode en informatie over niet bekendgemaakte kwetsbaarheden te stelen
Kwetsbaarheden niet bekend maken maar stiekem fixen hoort wel bij geslotem software. Windows is daar ook een mooi voorbeeld van. Kritieke kwetsbaarheden komen altijd van buiten nooit van de leverancier zelf.
Reageer met quote
Gisteren, 19:53 door Anoniem
Aaaiii.. Als F5 klant is dit niet waar ik op zit te wachten. Dit betekent een serieus Security risico ook al is het gepatched. Ze hebben bron code buit gemaakt waardoor het vinden van nieuwe kwetsbaarheden zou kunnen gebeuren.

Toch maar naar alternatieven kijken...
Reageer met quote
Gisteren, 21:56 door Anoniem
Door Anoniem: Aaaiii.. Als F5 klant is dit niet waar ik op zit te wachten. Dit betekent een serieus Security risico ook al is het gepatched. Ze hebben bron code buit gemaakt waardoor het vinden van nieuwe kwetsbaarheden zou kunnen gebeuren.

Toch maar naar alternatieven kijken...
NetScaler?
Reageer met quote
Gisteren, 22:54 door Anoniem
Nginx was toch al open source?
Reageer met quote
Vandaag, 08:06 door Anoniem
Door Anoniem:
Ook zijn er geen aanwijzingen dat de aanvallers toegang hadden tot de NGINX-broncode en productieomgeving. NGINX is een platform voor het ontwikkelen van apps en api's.

Ik maar denken dat NGINX een reverse proxy/load balancer is, die je bijvoorbeeld kunt gebruiken voor ingress beperking en het tegenhouden van actoren voor bekende lekken.
NGINX is toch gewoon een webserver met onder andere die functionaliteit, maar in de basis een webserver?
Reageer met quote
Vandaag, 08:57 door Anoniem
Door Anoniem:
Ook zijn er geen aanwijzingen dat de aanvallers toegang hadden tot de NGINX-broncode en productieomgeving. NGINX is een platform voor het ontwikkelen van apps en api's.

Ik maar denken dat NGINX een reverse proxy/load balancer is, die je bijvoorbeeld kunt gebruiken voor ingress beperking en het tegenhouden van actoren voor bekende lekken.

En niet te vergeten open-source, dus ik weet wel zeker dat de aanvallers toegang hadden tot de NGINX brondcode.
Reageer met quote
Vandaag, 09:25 door Anoniem
Daar gaan nu wel koppen rollen overigens.
https://www.sec.gov/ix?doc=/Archives/edgar/data/1048695/000104869525000149/ffiv-20251015.htm
Reageer met quote
Vandaag, 09:51 door dingetje - Bijgewerkt: Vandaag, 09:52
Wat de 'niet bekend gemaakte lekken' voor een klant betekent is dat er bekende gebreken zijn die blijkbaar nog niet zijn verholpen, je wordt als klant dus niet ingelicht over beveiligingsproblemen.
Terwijl kwaadwillenden diezelfde veiligheidsproblemen mogelijk al gevonden hebben, met of zonder het ontfutselen van closed source broncode.
Wanneer er dan wordt ingebroken bij de klant, is het feitelijk de schuld van de leverancier en niet van de klant dat het kon gebeuren.
Een reden te meer om broncode juist wel open te maken!
Reageer met quote
Vandaag, 10:18 door Anoniem
Door Anoniem: Nginx was toch al open source?

Een paar jaar geleden wel maar in onderstaande link kan je zien dat het toch al weer zeker 5 jaar terug was:

https://www.f5.com/company/news/press-releases/f5-acquires-nginx-to-bridge-netops-devops
Reageer met quote
Vandaag, 10:21 door Anoniem
Netscaler als oplossing, ja die waren lekker bezig de afgelopen maanden :-) :-):-)
Reageer met quote
Vandaag, 11:55 door Anoniem
Door Anoniem:
Door Anoniem:
Ook zijn er geen aanwijzingen dat de aanvallers toegang hadden tot de NGINX-broncode en productieomgeving. NGINX is een platform voor het ontwikkelen van apps en api's.

Ik maar denken dat NGINX een reverse proxy/load balancer is, die je bijvoorbeeld kunt gebruiken voor ingress beperking en het tegenhouden van actoren voor bekende lekken.
NGINX is toch gewoon een webserver met onder andere die functionaliteit, maar in de basis een webserver?
Inderdaad, zeg maar apache alternatief maar dan beter en trouwens open source. Dus de opmerking "Ook zijn er geen aanwijzingen dat de aanvallers toegang hadden tot de NGINX-broncode" is volslagen onzinning.
Reageer met quote
Vandaag, 11:58 door Anoniem
Door dingetje: Wat de 'niet bekend gemaakte lekken' voor een klant betekent is dat er bekende gebreken zijn die blijkbaar nog niet zijn verholpen, je wordt als klant dus niet ingelicht over beveiligingsproblemen.
Terwijl kwaadwillenden diezelfde veiligheidsproblemen mogelijk al gevonden hebben, met of zonder het ontfutselen van closed source broncode.
Wanneer er dan wordt ingebroken bij de klant, is het feitelijk de schuld van de leverancier en niet van de klant dat het kon gebeuren.
Een reden te meer om broncode juist wel open te maken!

Closed source Load Balancers zijn toch extreem ouderwets, daarom zie je ook zoveel security incidenten met Citrix Netscalers en F5. Iedereen die het een beetje serieus neemt zit al meer dan 10 jaar op een open-source alternatief en de grote cloud providers hebben hun eigen implementaties (ook veelal weer op open-source gebaseerd). Als je ook maar 1x met bijvoorbeeld een loadbalancer als Traefik hebt gewerkt dan weet je hoe extreem dom en ouderwets die F5 dingen zijn.
Reageer met quote
Vandaag, 11:59 door Anoniem
Door Anoniem:
Door Anoniem: Nginx was toch al open source?

Een paar jaar geleden wel maar in onderstaande link kan je zien dat het toch al weer zeker 5 jaar terug was:

https://www.f5.com/company/news/press-releases/f5-acquires-nginx-to-bridge-netops-devops
Nog steeds open source en dat zal ook zo blijven. F5 levert ook professionele support: https://nginx.org/
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure