A F5 divulgou nesta quarta-feira (15) novos detalhes sobre um incidente de segurança cibernética que afetou seus sistemas internos e envolveu o acesso prolongado de um agente de ameaça ligado a um Estado-nação.
De acordo com a empresa, o invasor manteve acesso persistente e realizou o download de arquivos de alguns ambientes corporativos, incluindo o de desenvolvimento do produto BIG-IP e as plataformas de gestão de conhecimento em engenharia.
Ataque identificado e medidas imediatas
O ataque foi detectado em agosto de 2025, e desde então, a F5 adotou uma série de ações para conter e mitigar a ameaça.
A companhia informou que não foram observadas novas atividades não autorizadas desde a resposta inicial e acredita que as ações de contenção foram bem-sucedidas.
Escopo do incidente e dados comprometidos
A investigação confirmou a exfiltração de arquivos contendo parte do código-fonte do BIG-IP e informações sobre vulnerabilidades ainda em desenvolvimento.
Apesar disso, a F5 destacou que não há indícios de falhas críticas ou vulnerabilidades exploráveis que pudessem permitir execução remota de código ou outros ataques ativos.
A empresa também afirmou que não houve acesso aos sistemas de CRM, finanças, suporte ou iHealth, e que os arquivos extraídos afetaram apenas uma pequena parcela de clientes, que estão sendo notificados individualmente.
A integridade da cadeia de fornecimento de software — incluindo código-fonte, pipelines de build e processos de release — foi verificada e validada de forma independente pelas consultorias NCC Group e IOActive.
Os produtos NGINX, F5 Distributed Cloud Services e Silverline não foram afetados.
Atualizações e recomendações aos clientes
Como parte da resposta, a F5 lançou atualizações de segurança para os produtos BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ e APM Clients, recomendando a instalação imediata das novas versões.
A empresa também disponibilizou um guia de caça a ameaças (threat hunting guide) e aprimorou o F5 iHealth Diagnostic Tool, que agora inclui verificações automáticas de hardening.
Entre as boas práticas recomendadas aos clientes estão:
-
Integração dos eventos do BIG-IP aos sistemas SIEM;
-
Monitoramento de logs de autenticação;
-
Aplicação das melhores práticas de segurança descritas nos artigos técnicos KB13080 e KB13426.
Parcerias e fortalecimento da segurança
A F5 contratou empresas especializadas — CrowdStrike, Mandiant, NCC Group e IOActive — para apoiar a resposta ao incidente e fortalecer a segurança interna e dos produtos.
A companhia também está colaborando com autoridades e órgãos governamentais na investigação.
Como parte das medidas preventivas, a F5 realizou:
-
Rotação de credenciais e reforço no controle de acesso;
-
Reestruturação da arquitetura de rede;
-
Implementação de novas automações de monitoramento e correção;
-
Revisões adicionais de segurança no ambiente de desenvolvimento.
Além disso, a empresa anunciou uma parceria com a CrowdStrike para oferecer aos clientes sensores Falcon EDR e o serviço Overwatch Threat Hunting.
Todos os clientes com suporte ativo do BIG-IP receberão uma assinatura gratuita do Falcon EDR.
Compromisso com transparência
Em comunicado oficial, a F5 lamentou o incidente e reforçou seu compromisso com a transparência e a melhoria contínua da segurança.
“Sua confiança é importante para nós. Sabemos que ela é conquistada todos os dias, especialmente quando algo dá errado”, destacou a empresa.
