脆弱性

脅威ブリーフィング:国家主体アクターがF5のソースコードと未公開の脆弱性を窃取

Clock Icon < 1 分で読めます

エグゼクティブサマリー

2025年10月15日、米国のテクノロジー企業であるF5は、国家主体の脅威アクターが同社の企業ネットワークに対して大規模かつ長期的な侵害を行っていたことを公表しました。このインシデントで、攻撃者はBIG-IP製品スイートのソースコードと、未公開の脆弱性に関する情報を窃取しました。F5のBIG-IPスイートは、主に米国だけでなく世界中の大企業で、可用性、アクセス制御、セキュリティのために広く利用されています。政府機関やフォーチュン500企業などがBIG-IPに依存しています

Cortex Xpanseは現在、インターネット上に60万以上のF5 BIG-IPインスタンスが公開されていることを確認しています。

F5の調査により、攻撃者は同社の製品開発環境とエンジニアリングナレッジマネジメントプラットフォームに長期間アクセスを維持していたことが明らかになりました。これにより、攻撃者は機密性の高いデータにアクセスすることが可能になりました。

F5はまた、深刻度が異なるいくつかの脆弱性の詳細も公開しました。主要な脆弱性のいくつかを以下に示します。

  • CVE-2025-53868: CVSSスコア8.7のBIG-IP SCPおよびSFTPの脆弱性。影響を受けるシステムに重大な影響を与える可能性があります。
  • CVE-2025-61955: アプライアンスモードで最大8.8のCVSSスコアを持つF5OSの脆弱性。F5OS-AおよびF5OS-Cシステムに重大な侵害をもたらす可能性があります。
  • CVE-2025-57780: アプライアンスモードで最大8.8のCVSSスコアを持つF5OSの脆弱性で、F5OSシステムに対するもう1つの重大な脅威となります。

主要なポイント

  • 窃取されたもの: 脅威アクターはBIG-IP製品開発環境およびエンジニアリングナレッジマネジメントプラットフォームからファイルを窃取しました。これらのファイルには、BIG-IPのソースコードの一部と未公開の脆弱性に関する情報が含まれていました。F5は、現時点では未公開の重大な、あるいはリモートでコードが実行可能な脆弱性については把握しておらず、また、未公開のF5脆弱性の悪用も確認されていないと述べています。
  • 顧客への影響: F5のCRM、財務、サポートケース管理、またはiHealthシステムからのデータへのアクセスや窃取の証拠はありません。しかし、ナレッジマネジメントプラットフォームから窃取されたファイルの一部には、ごく一部の顧客の設定または実装情報が含まれていました。
  • サプライチェーンの完全性: ソースコードやビルド・リリースパイプラインを含む、F5のソフトウェアサプライチェーンが改変されたという証拠はありません。
  • 影響なし: 脅威アクターがNGINXのソースコードや製品開発環境にアクセスまたは変更したという証拠はありません。また、脅威アクターがF5 Distributed Cloud ServicesまたはSilverlineシステムにアクセスまたは変更したという証拠もありませんでした。

窃取された内容の詳細は公表されていませんが、ソースコードとこれまで未公開だった脆弱性が盗まれたことは重要であり、脆弱性の迅速な悪用を助長する可能性があります。

ガイダンス

Unit 42は、F5が公開しているセキュリティ通知および四半期セキュリティ通知のガイダンスに従うことを強く推奨します。

侵害を受けた場合、またはリスクを低減するためのプロアクティブな評価が必要な場合は、Unit 42インシデントレスポンスチームにご連絡ください。

Cortex Xpanseには、公開されているF5デバイスの特定を支援するための既存の攻撃対象領域ルールがあります。

脆弱性についての議論 CVE-2025-53868, CVE-2025-61955, CVE-2025-57780

攻撃の詳細

F5によると、同社の企業ネットワークへの侵害は、特定の洗練された国家主体アクターによって実行されました。近年の攻撃は、テクノロジー企業が単なる標的としてだけでなく、諜報活動の効率とタイムラインを向上させるための「戦力増強装置」としての魅力を持っていることを示しています。

F5はまた、深刻度が異なるいくつかの脆弱性の詳細も公開しました。主要な脆弱性のいくつかを以下に示します。

  • CVE-2025-53868: CVSSスコア8.7のBIG-IP SCPおよびSFTPの脆弱性。影響を受けるシステムに重大な影響を与える可能性があります。
  • CVE-2025-61955: アプライアンスモードで最大8.8のCVSSスコアを持つF5OSの脆弱性。F5OS-AおよびF5OS-Cシステムに重大な侵害をもたらす可能性があります。
  • CVE-2025-57780: アプライアンスモードで最大8.8のCVSSスコアを持つF5OSの脆弱性で、F5OSシステムに対するもう1つの重大な脅威となります。

標的型攻撃の歴史

国家主体のアクターがテクノロジー業界の価値の高い標的を狙ってきた歴史があります。F5のBIG-IPスイートの広範なリーチを考えると、十分なリソースを持つ洗練されたアクターが過去にこれを標的としてきました。

2023年後半、BIG-IPのトラフィック管理ユーザーインターフェース(TMUI)に重大な脆弱性(CVE-2023-46747)が出現し、認証バイパスが可能になりました。中国関連の脅威アクターであるUNC5174は、この脆弱性を積極的に悪用しました。Mandiantの調査によると、このグループはこの脆弱性を利用してバックドアの管理者アカウントを作成し、最終的に侵害したデバイスでコマンドを実行しました。

3年間、中国の国家支援グループであるVelvet Antとして報告されているグループは、古いF5 BIG-IP機器を悪用するために悪意のあるソフトウェアを使用しました。これにより、標的組織のネットワークへの永続的なアクセスとデータの窃取が可能になりました。

2025年7月、重大な脆弱性(CVE-2022-1388)が、別の洗練された攻撃の入り口となりました。Fire Antとして知られる中国関連のグループ(UNC3886と重複)は、F5 BIG-IPデバイスのiControl REST認証バイパスの脆弱性を悪用しました。これにより、Webシェルを展開し、ネットワークセグメント間でトラフィックをトンネリングし、任意のシステムコマンドを実行することができました。

F5に対する攻撃の現在の範囲

脅威アクターはBIG-IP製品開発環境およびエンジニアリングナレッジマネジメントプラットフォームからファイルを窃取しました。10月16日付けのF5の投稿によると、同社はCRM、財務、サポートケース管理、またはiHealthシステムからのデータへのアクセスや窃取の証拠は見つかっていないと述べています。しかし、ナレッジマネジメントプラットフォームから窃取されたファイルの一部には、ごく一部の顧客の設定または実装情報が含まれていました。

F5は、盗まれたファイルにはBIG-IPのソースコードの一部と未公開の脆弱性に関する情報が含まれていたと述べました。F5は、現時点では未公開の重大な、あるいはリモートでコードが実行可能な脆弱性については把握していないと述べています。また、未公開のF5脆弱性の悪用も確認されていません。

ソースコードやビルド・リリースパイプラインを含む、F5のソフトウェアサプライチェーンが改変されたという証拠はありません。また、脅威アクターがNGINXのソースコードや製品開発環境にアクセスまたは変更したという証拠もありません。最後に、脅威アクターがF5 Distributed Cloud ServicesまたはSilverlineシステムにアクセスまたは変更したという証拠もありませんでした。

一般的に、攻撃者がソースコードを盗んだ場合、悪用可能な問題を見つけるには時間がかかります。このケースでは、脅威アクターはF5が積極的にパッチを適用しようとしていた、これまで未公開だった脆弱性に関する情報も盗みました。これにより、脅威アクターは公開されたパッチが存在しない脆弱性を悪用する能力を得て、エクスプロイト作成の速度を上げる可能性があります。

前四半期の6件に対し、今四半期に45件の脆弱性が公開されたことは、F5が脅威アクターに悪用される前に、できるだけ多くの欠陥に迅速にパッチを適用しようと動いていることを示唆しています。

暫定ガイダンス

Unit 42は、F5が公開しているセキュリティ通知および四半期セキュリティ通知のガイダンスに従うことを強く推奨します。このガイダンスには以下が含まれます。

  • BIG-IPソフトウェアのアップデート
  • 脅威ハンティングガイド
  • 強化(ハーデニング)ガイダンス
  • セキュリティ情報およびイベント管理(SIEM)の統合に関する推奨事項

F5は、BIG-IPソフトウェアをできるだけ早くアップデートすることを強く推奨しています。F5サポートは、検出と監視を強化するための脅威ハンティングガイドを提供しています。また、F5システムの強化に関するベストプラクティスを公開し、F5 iHealth Diagnostic Toolに自動強化チェックを追加しました。このツールは、ギャップの表面化、アクションの優先順位付け、および修正ガイダンスへのリンクの提供に役立ちます。

最後に、F5は以下を推奨しています。

  • SIEMへのBIG-IPイベントストリーミングの有効化
  • syslog設定のステップバイステップ手順(KB13080)に従う
  • ログイン試行の監視(KB13426)により、以下の可視性とアラートを強化する:
    • 管理者ログイン
    • 認証失敗
    • 権限および設定の変更

結論

この侵害の潜在的な影響は、F5が積極的にパッチを適用している最中だった、これまで未公開の脆弱性に関する機密情報が盗まれたという点で独特です。このデータは、脅威アクターに、現在公開されているパッチが存在しない脆弱性を悪用する能力を与える可能性があり、エクスプロイトの作成を加速させる可能性があります。

公開情報によると、この侵害は2025年8月上旬に確認されました。F5は、まだ実際の悪用は確認されていないと述べていますが、タイミングを考えると、これらの脆弱性は2か月以上にわたって悪用されていた可能性があります。これは、緩和ガイダンスに直ちに対処する必要性を浮き彫りにしています。

F5の迅速な情報公開と緩和ガイダンスは、重要な第一歩です。F5 BIG-IPを使用しているすべての組織にとっての最優先事項は、緩和および強化ガイダンスを遅滞なく実施し、直ちに脅威ハンティング活動を開始することです。

これは、未知の、新たに出現した、そして以前に特定された脆弱性に直面した場合の、多層防御戦略の必要性を強調しています。

パロアルトネットワークスのお客様は、以下にリストされている弊社製品によってより良く保護されています。関連情報が入り次第、この脅威ブリーフィングを更新します。

パロアルトネットワークス製品による保護

パロアルトネットワークスのお客様は、この脅威を特定し、防御するために、さまざまな製品保護とアップデートを活用できます。

侵害された可能性がある場合、または緊急の要件がある場合は、Unit 42インシデントレスポンスチームにご連絡いただくか、以下にお電話ください。

  • 北米: フリーダイヤル: +1 (866) 486-4842 (866.4.UNIT42)
  • 英国: +44.20.3743.3660
  • 欧州および中東: +31.20.299.3130
  • アジア: +65.6983.8730
  • 日本: +81.50.1790.0200
  • オーストラリア: +61.2.4062.7950
  • インド: 000 800 050 45107

Cortex Xpanse

Cortex Xpanseには、公開されているF5デバイスの特定を支援するための既存の攻撃対象領域ルールがあります。

目次

Enlarged Image