文章总结： F5BIG-IP遭国家级黑客渗透，源代码和0-day漏洞细节被窃，潜在风险高，可能导致大规模利用工具。CISA发布紧急指令，F5提供补丁和缓解方案。建议客户立即执行资产清点、补丁升级、密钥轮转、访问控制、日志排查和零信任验证，以防范未来威胁。 综合评分： 90 文章分类： 漏洞预警,供应链安全,应急响应,威胁情报,安全大事件

【安全事件通告】F5 BIG-IP遭国家级黑客渗透，潜在漏洞与供应链威胁，尽快采取行动！

奇安信 CERT

2025年10月16日 10:57 北京

背景

F5 Networks是全球知名的应用交付控制器（ADC）和负载均衡解决方案提供商，其BIG-IP系列产品被全球众多大型企业、政府机构、金融和服务提供商广泛用于承载和管理其关键业务应用。由于F5设备通常部署在网络核心边界，掌管着关键应用的流量，一旦其自身存在安全漏洞并被利用，将可能对使用单位的业务连续性和数据安全造成毁灭性打击。

近期，F5公司确认遭遇了一次重大安全入侵事件，导致其部分核心源代码及敏感信息被窃取。此事件不仅威胁到F5自身的产品安全，更对全球依赖其产品的用户构成了严重的潜在安全风险。

事件概要

2025 年 10 月 15 日，美国网络安全与基础设施安全局（CISA）发布紧急指令，披露全球广泛使用的 F5 BIG-IP 硬件设备、虚拟化版本及其管理平台遭到国家级黑客长期入侵。攻击者已成功窃取：

1.部分 BIG-IP 源代码；

2.尚未公开的 0-day 漏洞细节；

3.少量客户配置与 API 密钥文件。

直接影响： 此次入侵并未直接波及或破坏F5客户的设备与系统。入侵被限制在F5的公司内网。

潜在风险： 这是本次事件最危险的部分。攻击者获取了宝贵的源代码和漏洞信息，使他们能够更高效地挖掘出尚未被公开的“零日漏洞”（0-day），并针对F5产品发起更具针对性的、难以防范的高级持续性威胁（APT）攻击。这极大地提高了全球F5用户在未来面临新型攻击的风险。

目前暂无境内政府/央企系统被攻陷的公开报告，但存在通过供应链横向渗透、持久化驻留的重大风险，必须立即处置。

影响范围

产品型号

• BIG-IP v13.x / v14.x / v15.x / v16.x 全系列
• BIG-IQ Centralized Management
• F5 公有云/虚拟版（VE、AWS、Azure、阿里云、华为云等镜像）

部署场景

互联网边界负载均衡、SSL 卸载、WAF、DNS 交付

内网东西向微隔离、API 网关、容器 Ingress

政务云、电力调度云、金融数据中心、运营商核心网

风险等级

预置账号凭据泄露 → 直接获取设备 root/admin 权限

API 密钥外泄 → 接管下游业务系统、VPN、容器平台

0-day 细节外泄 → 随时可能出现大规模利用工具

CISA表态

美国网络安全与基础设施安全局（CISA）对此事件高度关注，并迅速采取行动。CISA发布了紧急指令ED 26-01，要求联邦民用行政部门（FCEB）机构对F5 BIG-IP产品进行全面清查，评估其网络管理接口是否暴露于公共互联网，并及时应用F5提供的更新。CISA强调，此次事件对联邦网络构成了紧急威胁，成功利用受影响的F5产品可能导致攻击者获取嵌入式凭证和API密钥、在组织内部横向移动、窃取数据以及建立持久系统访问权限，最终可能导致目标信息系统的全面被攻陷。

F5应对措施及解决方案

面对入侵事件和层出不穷的漏洞，F5公司采取了以下应对措施：

事件响应与确认： F5在发现入侵后迅速启动了安全响应流程，并对外确认了该事件，通知了受影响的客户。

发布安全补丁： 针对已知的高危漏洞，F5已在其官方知识库（K000154696）中发布了相应的安全更新和修复补丁。

提供解决方案与缓解措施： 对于无法立即升级的系统，F5提供了临时性的缓解方案，例如：

1.通过管理界面修改配置，限制对管理口的访问。

2.使用iRules等内置功能对恶意流量进行阻断。

3.建议用户严格遵循网络最小权限原则，将BIG-IP管理界面与公网隔离。

建议客户立即执行的关键动作

| | | | | — | — | — | | 动作 | 要求 | 截至时间 | | 1. 资产清点 | 梳理所有在线/离线 BIG-IP 设备、虚机、云实例，形成《F5 资产清单表》 | 48 小时内 | | 2. 补丁升级 | 将 TMOS 升级至 F5 官方 2025-10-14 发布的最新版本（如 17.1.0.3、16.1.4.1、15.1.9.2 等） | 2025-10-22 24:00 前 | | 3. 密钥轮转 | 强制重置所有 admin/root 口令、iCall 脚本密钥、iControl REST API Token、SNMP 社区串、SSL 私钥 | 升级当日完成 | | 4. 访问控制 | 关闭所有互联网侧 443/22/9443 管理端口；启用白名单+双因子 | 24 小时内 | | 5. 日志排查 | 导出近 90 天 /var/log/audit、/var/log/secure、ltm 日志，搜索异常“auth success”“tmsh”记录 | 72 小时内 | | 6. 零信任验证 | 对 BIG-IP 后方所有业务系统做一次性重新认证与最小授权复核 | 一周内 |

总结

本次F5源代码泄露事件是一次影响深远的安全警报。它不同于普通的网络攻击，其危害在于为攻击者提供了“制造未来武器的蓝图”。虽然事件本身未直接攻击终端用户，但它极大地降低了攻击者发现和利用F5产品新漏洞的门槛，为后续更隐蔽、更精准的高级威胁埋下了伏笔。

结合CISA的紧急指令，全球所有F5用户必须清醒地认识到当前形势的严峻性。任何拖延和侥幸心理都可能将自身的关键业务置于巨大的风险之中。立即行动，全面修补已知漏洞，并建立持续性的漏洞管理机制，是应对此次及未来潜在安全危机的唯一有效途径。