Datenklau bei Netzwerkanbieter F5: Angreifer stehlen Code und Sicherheitslücken

Der Netzwerkanbieter F5 sieht sich mit einem Datenleck konfrontiert, das offenbar lange Zeit bestand und bei dem Quellcode und bisher unveröffentlichte Sicherheitslücken abhandenkamen. Dutzende Flicken für seine BIG-IP-Appliance und andere Produkte müssen Admins nun dringend einspielen, sonst drohen weitere Einbrüche. Das veranlasst auch die US-Cybersicherheitsbehörde CISA und ihr britisches Gegenstück zu einer dringenden Warnung.

Wie die Angreifer ins F5-Netzwerk eingedrungen sind, lässt der Hersteller im Unklaren, doch haben die Nachforschungen einen Datenabfluss bestätigt. So sei Quellcode für BIG-IP in unbefugte Hände gelangt, gemeinsam mit Informationen über bekannte, aber zum Zeitpunkt des Angriffs noch nicht behobene Sicherheitslücken niedrigen, mittleren und hohen Schweregrads. Die sind für Exploit-Entwickler ein gefundenes Fressen – sie dürften sich unmittelbar an die Arbeit gemacht und Malware auf die Lücken maßgeschneidert haben. Ebenso fatal: Für einige F5-Kunden waren in den angegriffenen Systemen spezifische Konfigurations- und Implementierungshinweise hinterlegt, die dann für gezielte Attacken missbraucht werden können.

F5 legt Wert auf die Feststellung, dass weder Sicherheitslücken kritischen Schweregrads noch solche mit Möglichkeiten zur Codeausführung (RCE) in die Hände der Angreifer gelangt seien. Ein schwacher Trost, denn: Mit dem erbeuteten Quellcode könnten diese gezielt nach solchen Lücken suchen. Immerhin: Der oder die Angreifer hatten offenbar keinen Zugriff auf die Entwicklungs-Infrastruktur für den Webserver NGINX, der seit sechs Jahren zu F5 gehört. Und Kunden-, Finanz- oder Supportdatenbanken blieben nach Erkenntnissen des Herstellers ebenfalls verschont.

Private Schlüssel geklaut, aber Buildprozess intakt?

Die Software-Supply-Chain und der Buildprozess seien hingegen nicht betroffen, hätte eine Untersuchung gemeinsam mit den Sicherheitsspezialisten der NCC Group und IOActive ergeben. Die Aussage passt jedoch nicht so recht zu einem weiteren Beutestück. Denn offenbar gerieten die zur Software- und Image-Signatur verwendeten Schlüssel ebenfalls in die Hände der Angreifer, denn der Hersteller hat die privaten Schlüssel und Zertifikate ausgetauscht.

Wie F5 in einem Support-Artikel erklärt, sind dadurch ältere Versionen nicht mehr in der Lage, die mit den neueren Schlüsseln signierten Versionen zu verifizieren, was sich auf Installationen, Updates und das Ausrollen virtueller Maschinen auswirken könnte.

F5-Patches: Im Dutzend billiger

Unter den offenbar geleakten Sicherheitslücken findet sich eine mit hohem Schweregrad (CVE-2025-53868, CVSS 8,7/10), die Angreifern mit gültigen Zugangsdaten eine Umgehung von Sicherheitsvorkehrungen ermöglicht. Dafür muss das Gerät jedoch im Appliance Mode laufen und der Angreifer bereits Zugriff auf das SCP- oder SFTP-Protokoll haben (Secure Copy / Secure File Transfer Protocol).

Auch in F5OS und verschiedenen Untermodulen von BIG-IP klaffen reichlich Lücken, die F5 nun behebt. Darunter finden sich:

• 27 Lücken mit hohem Schweregrad beziehungsweise derer 29, wenn das BIG-IP-Gerät im „Appliance Mode läuft“,
• 16 mittelschwere Lücken und
• 1 als niedrig eingestufte Sicherheitslücke.

Admins sollten sich zügig an die Aktualisierung machen und der Gefahr gewahr sein, die durch die gestohlenen Daten droht. Dass mit den Patches auch eine Neuausstellung der Codesigning-Zertifikate einher geht, dürfte zusätzlich für Schweißperlen auf der Sysadmin-Stirn sorgen.

CISA und NCSC in Alarmstimmung

Der Einbruch und die entwendeten Sicherheitslücken veranlassten die US-Cybersicherheitsbehörde CISA zu einer dringenden Handlungsanweisung („Emergency Directive“) an alle Bundesbehörden. Bis Mitte nächster Woche, spätestens bis Ende des Monats sollen deren Admins betroffene Geräte entweder patchen oder vom Netz nehmen. Sie müssen zudem berichten, welche betroffenen Geräte sich in ihren Netzen fanden. Wegen des Haushalts-Shutdown in den USA könnte es jedoch zu Verzögerungen kommen, wenn IT-Personal entlassen oder in den unbezahlten Zwangsurlaub geschickt wurde.

Auch die britische NCSC stimmte in die Warnungen ein. Vom deutschen CERT-Bund gab es zunächst nur einen Sicherheitshinweis, der jedoch den Netzwerkeinbruch bei F5 ausklammerte.

(cku)