国家级黑客入侵F5核心系统，窃取客户敏感数据全过程

美国应用安全厂商F5公司近日证实遭遇国家级黑客组织长期入侵。攻击者窃取了部分BIG-IP产品源代码及客户配置数据，这一事件引发了对供应链安全隐患的广泛担忧。

企业技术供应商F5在周三的声明中指出，受政府支持的黑客侵入了公司系统，突破了其生产环境与工程资源平台的防护。

F5作为应用安全和数据传输产品供应商，在官方声明中将攻击者描述为"高度复杂的国家级威胁行为者"。该组织通过入侵其"工程知识管理平台"及旗舰产品BIG-IP的开发平台，窃取了公司的技术文件。

F5表示被盗文件"包含部分BIG-IP源代码以及我们正在处理的BIG-IP未公开漏洞相关信息"。公司补充说明，据其了解这些漏洞均不存在严重缺陷，也未涉及远程代码执行功能。F5同时强调，目前尚未发现"任何未公开的F5漏洞遭到主动利用"。

从知识管理平台窃取的部分文件涉及"少量客户"的产品配置方案，黑客可能利用这些信息策划针对企业的精准攻击。

F5披露黑客"长期、持续"访问其系统，公司于八月份发现此次入侵，但未透露攻击起始时间。F5发言人拒绝就本次事件的具体细节作出回应。

美国网络安全与基础设施安全局发布紧急指令

美国政府正紧急排查黑客是否通过入侵联邦机构的F5产品，进而对政府系统发动连锁攻击。CISA周三下令要求各联邦机构立即识别所有受影响设备，将特定产品的管理界面从公共互联网隔离，并全面应用F5发布的安全更新。各机构需在10月22日前完成大部分受影响产品的修补，并在10月31日前完成剩余产品的修复工作。CISA同时要求各机构切断已停用设备的网络连接，但为保障关键业务需求的情况除外。

CISA负责网络安全的执行副局长Nick Andersen在周三的简报会上告诉记者，该局尚未确认有任何联邦机构因本次事件遭受侵害。但他拒绝透露入侵F5公司的国家级威胁行为者的具体身份。

此次事件令人立即联想到俄罗斯主导的SolarWinds供应链攻击。在那次事件中，克宫特工渗透了这家IT软件供应商，并篡改了其产品代码。通过利用F5产品中的安全漏洞，攻击者可能绕过被入侵组织的网络防御，建立持久访问权限，并窃取包括密码和API密钥在内的敏感数据。

F5明确表示，目前没有证据表明"我们的软件供应链，包括源代码以及构建和发布流程遭到篡改"。公司表示两次独立审计结果均证实了这一结论。

尽管如此，Andersen指出F5的政府及企业客户可能面临的"下游影响"仍然令人担忧。

"这是影响我们供应链的更广泛战略活动的一部分。"他向记者如此表示。

Andersen透露，联邦政府内部部署着数千台F5产品设备。CISA在周三上午已向其他联邦机构通报了紧急指令，并计划在当晚向州和地方政府进行通报。他表示CISA正与负责监管关键基础设施部门的机构合作，共同向这些行业的成员发出安全警告。

CISA正在协调应对F5入侵事件，同时该局也因持续的政府停摆而面临裁员、强制调岗和休假等问题。Andersen强调，政府停摆以及近期一项关键信息共享法律的到期并未影响CISA处理本次事件的能力。

"受影响人员不包括处理此次事件的核心团队。"Andersen向记者明确表示。