Tietoturva Nyt!
Yhdysvaltalainen tietoturva- ja teknologiayritys F5 on ilmoittanut joutuneensa vakavan tietomurron kohteeksi. Valtiolliseksi uhkatoimijaksi arvioitu taho oli saanut pääsyn F5:n sisäisiin järjestelmiin ja kopioinut muun muassa BIG-IP-tuotteiden lähdekoodia sekä tietoja julkaisemattomista haavoittuvuuksista. Tapaus on herättynyt laajaa huomiota, sillä F5:n tietoturva- ja muuta teknologiaa käytetään laajasti eri organisaatioiden toimesta ympäri maailmaa. Kyberturvallisuuskeskus suosittelee F5:n järjestelmiä käyttäviä organisaatoita tekemään tarvittavat toimenpiteet niiden suojaamiseksi.
Yhdysvaltalainen teknologiayritys F5 tiedotti 15.10.2025 erittäin kehittyneen valtiollisen uhkatoimijan onnistuneen saamaan pitkäaikaisen ja jatkuvan pääsyn tiettyihin F5:n järjestelmiin. F5 oli saanut asian tietoonsa elokuussa 2025. Uhkatoimija latasi järjestelmistä tiedostoja ja varastetut tiedostot sisälsivät osan BIG-IP-lähdekoodista ja tietoa julkaisemattomista haavoittuvuuksista. Näihin järjestelmiin kuuluivat BIG-IP -tuotekehitysympäristö ja tiedonhallinta-alusta. F5:n mukaan heillä ei ole tietoa siitä, että vuoto olisi koskenut CRM-, talous-, tukitapausten hallinta- tai iHealth-järjestelmiä. Yhdysvaltain kyberturvallisuusviranomainen CISA antoi tapahtuman seurauksena hätäohjeistuksen, joka ohjaa virastoja tarkistamaan ja suojaamaan F5-järjestelmänsä välittömästi.
F5 kertoi tehneensä estotoimenpiteitä uhkatoimijaa kohtaan, eikä hyökkäystoimintaa enää tämän jälkeen ole nähty. F5 on ottanut tapauksen tutkinnan tueksi esimerkiksi CrowdStiken ja Mandiantin kaltaisia tietoturvapalveluita tarjoavia organisaatioita. F5:n mukaan heillä ei ole tarkempia tietoja, mitä haavoittuvuuksia on vuotanut, eikä se ole tietoinen haavoittuvuuksien aktiivisesta hyödyntämisestä.
F5 on myös kertonut tehneensä useita sisäisiä toimenpiteitä parantaakseen organisaation ja palveluidensa tietoturvaa. Näitä toimia ovat olleet mm. käyttöoikeuksien hallinnan vahvistaminen, parannettu korjauspäivitysten hallinnan automaatio sekä lisätyökalut valvonnan, uhkien havaitsemisen sekä niihin reagoimisen parantamiseksi. Lisäksi F5 on vahvistanut tuotekehitysympäristön tietoturvakontrolleja ja kaikkien ohjelmistokehitysalustojen valvontaa. Lisätoimenpiteitä on tehty myös tuoteturvallisuuden vahvistamiseksi. F5 esimerkiksi jatkaa tuotteiden koodin tarkistusta ja tuotteiden penetraatiotestausta yhteistyökumppaneidensa tuella, jotta haavoittuvuuksia pystytään tunnistamaan ja korjaamaan mahdollisimman tehokkaasti.
F5 on julkaissut päivityksiä BIG-IP-, F5OS- ja BIG-IP Next -sovelluksille Kubernetes-, BIG-IQ- ja APM-asiakkaille ja päivitykset suositellaan asentamaan niin pian kuin mahdollista. F5 on vaihtanut omat sisäiset allekirjoitusavaimensa hyökkäyksen jälkeen lokakuussa 2025.
Myös Yhdysvaltain kyberturvallisuusvirasto (Cybersecurity and Infrastructure Security Agency, CISA) on julkaissut hätädirektiivin ED 26-01, jossa kehotetaan liittovaltion virastoja tekemään päivitykset F5-laitteisiin. Virastoja ohjataan inventoimaan F5-tuotteet ja arvioimaan, ovatko näiden hallintaliittymät näkyvissä internettiin. Koska varastetut tiedot sisältävät julkaisemattomia haavoittuvuuksia ja lähdekoodia, uhkatoimija saattaa käyttää niitä hyödykseen kehittääkseen uusia hyökkäyksiä F5-tuotteita vastaan.
Kyberturvallisuuskeskus suosittaa kaikkia F5:n järjestelmiä käyttäviä organisaatioita tekemään alle listatut toimenpiteet.
Tarpeelliset toimenpiteet:
- Tunnista käytössä olevat organisaationne F5-laitteet ja -palvelut
- Asenna tarjotut päivitykset F5-laitteille ja -palveluihin
- Kovenna verkkoon julkisesti näkyvät järjestelmät. Lisätietoja: https://my.f5.com/manage/s/article/K53108777 (Ulkoinen linkki)
- Uhkametsästysopas havaitsemisen ja valvonnan tehostamiseksi on saatavilla F5-tuesta pyytämällä
- F5 on lisännyt automaattisia koventamisen tarkistuksia iHealth -diagnostiikkatyökaluun. Työkalu tuo esiin puutteita, priorisoi toimia ja tarjoaa linkkejä korjausohjeisiin Lisätietoja: https://www.f5.com/support/f5-ihealth (Ulkoinen linkki)
- F5 suosittelee BIG-IP-tapahtumien streamauksen käyttöönottoa keskitettyyn lokienhallintajärjestelmään.
- Vaiheittaiset ohjeet lokitietojen määrittämiseen (KB13080, https://my.f5.com/manage/s/article/K13080 (Ulkoinen linkki))
- Ohjeet kirjautumisyritysten valvontaan (KB13426, https://my.f5.com/manage/s/article/K13426 (Ulkoinen linkki))
- Nämä parantavat näkyvyyttäsi ja antavat hälytyksiä järjestelmänvalvojan kirjautumisista, epäonnistuneista todennuksista sekä käyttöoikeus- ja määritysmuutoksista.
Lisätietoja
- F5: K000154696: F5 Security Incident (Ulkoinen linkki)
- F5: K000156572: Quarterly Security Notification (October 2025) (Ulkoinen linkki)
- F5: K000157005: F5 signing certificate and key rotation, October 2025 (Ulkoinen linkki)
- CISA: ED 26-01: Mitigate Vulnerabilities in F5 Devices (Ulkoinen linkki)
- CISA Directs Federal Agencies to Mitigate Vulnerabilities in F5 Devices (Ulkoinen linkki)