AccueilAlerts & Advisories

Vulnérabilités critiques des produits F5 BIG-IP

Résumé

Le 15 octobreth, le fournisseur F5 a révélé publiquement une faille de sécurité ayant un impact sur son environnement interne et ayant entraîné l'exfiltration par un acteur de la menace de données sensibles concernant sa gamme de produits BIG-IP. F5 a confirmé que les données volées comprenaient des parties de son code source Big-IP, de la documentation technique interne et des données sensibles inédites sur les vulnérabilités de ses produits. En outre, la plateforme de gestion des connaissances du fournisseur a été compromise, car elle contenait des informations de configuration et d'organisation sensibles « pour un faible pourcentage de clients ».

Au moment de la publication de cet avis, F5 déclare que rien ne prouve que la création ou le pipeline de mise à jour de ses produits destinés aux consommateurs ait été modifié ou qu'un code malveillant ait été inséré.

Dans le cadre de sa réponse à cet incident, F5 a publié des mises à jour logicielles et des conseils d'atténuation des vulnérabilités impliquées dans cet incident. La plupart des vulnérabilités corrigées par F5 sont liées à des conditions de déni de service (DoS), qui peuvent être exploitées par les acteurs de la menace en envoyant du trafic malveillant spécialement conçu vers des sous-systèmes des appareils de la famille BIG-IP dotés de certaines fonctionnalités exploitables activées. Cependant, plusieurs des vulnérabilités révélées ont plus d'impact qu'un simple DoS et peuvent entraîner l'exécution de code arbitraire ou permettre à un attaquant de déployer des implants malveillants. Ces vulnérabilités existent principalement dans les différentes interfaces de gestion des appliances F5 et la plupart nécessitent un accès authentifié pour permettre leur exploitation. Reportez-vous à la section Détails techniques de cet avis pour une analyse détaillée de ces vulnérabilités et un aperçu de leur impact potentiel.

En raison de la nature de l'attaque et de la sensibilité des informations volées, Beazley Security estime que les acteurs de la menace possédant ces données utiliseront ces informations comme précurseurs pour mener des campagnes d'attaques ciblées et des tentatives d'exploitation contre des appareils F5 connectés à Internet. Beazley Security recommande vivement que les organisations disposant d'appareils F5 connectés à Internet doivent immédiatement mettre à jour les appareils.

Systèmes et produits concernés

Cet incident concerne tous les produits BIG-IP, notamment : BIG-IP, F5OS, BIG-IP Next pour Kubernetes, BIG-IQ et APM. F5 a déclaré que l'environnement de développement de NGINX n'avait pas été affecté.

En raison de l'ampleur du développement interne et du vol de données de vulnérabilité (auparavant) non divulguées par les acteurs de la menace, F5 a publié un grand nombre de mises à jour logicielles sur l'ensemble de sa gamme de produits.

Une liste exhaustive de tous les produits fixes ne se trouve pas dans ce document, mais peut être trouvée dans l'article de F5 : K000156572 Notification de sécurité trimestrielle (octobre 2025).

Pour une analyse plus détaillée des vulnérabilités révélées et de leur impact potentiel, veuillez consulter la section Détails techniques de cet avis.

Atténuations et solutions de contournement

Beazley Security recommande vivement aux entreprises d'identifier tous les périphériques matériels BIG-IP, en particulier BIG-IP, F5OS, BIG-IP Next pour les clients Kubernetes, BIG-IQ et APM, et d'appliquer les correctifs les plus récents.

F5 propose également une documentation standard sur les meilleures pratiques pour renforcer votre système F5 afin d'atténuer les attaques en général. Cette documentation se trouve dans l'article de F5 : K53108777 : Renforcement de votre système F5.

F5 a également mis à disposition un Outil de diagnostic iHealth qui peut exécuter automatiquement des contrôles de renforcement pour les appliances clientes.

Patchs

Actuellement, F5 travaille activement à la publication d'images de micrologiciels et de logiciels mises à jour pour tous les produits mentionnés dans K000156572 Notification de sécurité trimestrielle (octobre 2025). Reportez-vous à K84205182 : Contenu du guide | Guide de mise à jour et de mise à niveau de BIG-IP pour savoir comment mettre à jour les différents produits BIG-IP.

Détails techniques

Selon le briefing sur l'incident F5 et la télémétrie des partenaires participant à cet incident, les acteurs de la menace ont exfiltré des parties du code source de BIG-IP, des rapports de vulnérabilité internes et des artefacts de développement/de débogage provenant du système interne d'ingénierie et de suivi des problèmes de F5. Les données exfiltrées comprenaient des documents de conception, des extraits de code liés aux modules du plan de contrôle et du plan de données, ainsi que des cas de test internes et des crashdumps révélant les chemins d'exécution et la gestion des erreurs.

Bien que F5 ne dispose actuellement d'aucune preuve d'altération de la construction d'un pipeline, ces artefacts sont hautement exploitables. Beazley Security attend des attaquants qu'ils étudient ces artefacts de développement afin de rechercher des vulnérabilités de type « jour zéro » et de développer des exploits militaires lorsque cela est possible.

Beazley Security est également consciente que les acteurs de la menace impliqués dans cette campagne d'attaque contre les réseaux F5 ont tiré parti de l'implant BRICKSTORM. détaillé par Mandiant en septembre 2025. Beazley Security recommande vivement aux organisations dont le modèle de menace inclut le fait d'être potentiellement ciblées par des acteurs de la menace des États-nations à des fins d'espionnage de tirer parti des outils et des conseils de détection fournis par Mandiant pour rechercher la présence de BRICKSTORM dans leur environnement.

Étant donné que les acteurs de la menace impliqués dans cette campagne d'espionnage ont pu accéder au code source, Beazley Security estime qu'il est probable que ces acteurs utiliseront le code source pour identifier et exploiter les vulnérabilités zero-day actuellement inconnues de ces appareils. Les organisations disposant d'appliances F5 déployées devraient s'efforcer de segmenter ces appareils, de surveiller le trafic suspect en provenance ou à destination des systèmes, de s'assurer que les interfaces de gestion ne sont pas exposées à Internet et de surveiller les canaux des fournisseurs F5 pour les mises à jour de sécurité. Les organisations doivent prévoir d'appliquer les futurs correctifs dès leur publication pour les appliances F5 concernées.

Analyse des vulnérabilités divulguées

Outre la notification de l'incident, F5 a corrigé un nombre important de vulnérabilités qui auraient pu être révélées aux attaquants. Ces vulnérabilités ont un impact sur différentes gammes de produits et sont détaillées dans leur notification de sécurité trimestrielle d'octobre (K000156572).

Beazley Security a examiné les vulnérabilités afin de quantifier le risque et l'impact et a fourni une analyse de ces vulnérabilités ci-dessous :

Vulnérabilités BIG-IP à fort impact

Remarque : Les laboratoires de Beazley Security pensent que des attaquants sophistiqués pourraient enchaîner plusieurs de ces vulnérabilités pour augmenter les privilèges, accéder au système d'exploitation sous-jacent de l'appliance et déployer des implants Linux personnalisés. Veuillez noter qu'il existe très peu d'informations publiques sur ces vulnérabilités et que, par conséquent, l'analyse des laboratoires de Beazley Security repose sur la manière dont les attaques de ce type se sont déroulées dans le passé.

Par exemple, un attaquant disposant de privilèges limités, tel qu'un administrateur de ressources, pourrait combiner CVE-2025-59481 ou CVE-2025-61958 avec CVE-2025-53868 pour exécuter des commandes bash avec des privilèges plus élevés, passer à un rôle compatible SCP et utiliser CVE-2025-53868 pour installer un logiciel malveillant sur le système d'exploitation de l'appliance F5 BIG IP.

En outre, Beazley Security Labs estime que la vulnérabilité XSS reflétée (CVE-2025-61933) pourrait être exploitée par des attaquants non authentifiés pour compromettre les cookies de session des utilisateurs authentifiés. Les attaquants pourraient alors exploiter cette vulnérabilité en conjonction avec les autres exploits répertoriés ci-dessous pour déployer des implants malveillants ou établir un reverse shell.

CVE 

Impact 

CVE-2025-53868 

Authenticated and privileged attacker with SCP or SFTP access can bypass “Appliance mode” and access underlying operating system 

CVE-2025-59481 

Authenticated attacker with at least a resource administrator and with access to the F5 REST API or the tmsh console utility can execute commands at system level and escalate their privileges.  

CVE-2025-61958 

Authenticated attacker with at least a resource administrator role can escape tmsh into bash and gain access to the underlying operating system. This enables attackers to cross a security boundary and escalate their privileges. 

CVE-2025-59483 

Authenticated and privileged attacker can perform arbitrary file uploads 

CVE-2025-59268 

Unauthenticated attacker can access “non-sensitive” information on the admin interface 

CVE-2025-59269 

Authenticated attacker can implant stored XSS with the potential for remote code execution (RCE) if a victim user has bash access 

CVE-2025-61933 

Unauthenticated attacker can trick a victim user into executing reflected XSS in the context of the victim browser. Under certain circumstances this could grant the attacker session cookies. 

CVE-2025-54755 

Authenticated attacker can access restricted files via directory traversal 

Vulnérabilités F5OS-A/C à fort impact

CVE 

Impact 

CVE-2025-61955 

Authenticated attacker can escalate privileges 

CVE-2025-57780 

Authenticated attacker can escalate privileges 

CVE-2025-60013 

Authenticated attacker with Admin or Resource Admin role can bypass “Appliance mode” (restricted CLI) to execute arbitrary commands and escalate privileges 

CVE-2025-53860 

Authenticated, highly privileged attacker can access sensitive FIPS HSM information 

Vulnérabilités de déni de service (DoS) non authentifiées (non regroupées par produit)

Remarque : de nombreuses vulnérabilités par déni de service répertoriées dans cette section résultent d'une corruption de la mémoire ou de problèmes connexes qui peuvent être déclenchés à distance par l'envoi de trafic formaté de manière malveillante. Il est possible que, dans certaines circonstances, de telles vulnérabilités permettent à un attaquant hautement qualifié et doté de ressources suffisantes d'atteindre des objectifs allant au-delà de la simple interruption de service. Le potentiel d'un tel développement de capacités dépend de facteurs tels que le contexte de vulnérabilité spécifique, la capacité de l'attaquant à manipuler efficacement la mémoire de manière à permettre un accès ultérieur et l'activation des fonctionnalités de sécurité de la mémoire.

Beazley Security Labs continuera à les surveiller et à fournir des mises à jour si l'une de ces vulnérabilités est utilisée de manière abusive au-delà d'une condition de déni de service.

CVE 

Reference 

Product/Component 

CVE-2025-60016 

K000139514 

BIG-IP SSL/TLS 

CVE-2025-48008 

K000150614 

BIG-IP MPTCP 

CVE-2025-59781 

K000150637 

BIG-IP DNS cache 

CVE-2025-41430 

K000150667 

BIG-IP SSL Orchestrator 

CVE-2025-55669 

K000150752 

BIG-IP HTTP/2 

CVE-2025-61951 

K000151309 

BIG-IP DTLS 1.2 

CVE-2025-55036 

K000151368 

BIG-IP SSL Orchestrator 

CVE-2025-54479 

K000151475 

BIG-IP PEM 

CVE-2025-46706 

K000151611 

BIG-IP iRules 

CVE-2025-59478 

K000152341 

BIG-IP AFM DoS protection profile 

CVE-2025-61938 

K000156624 

BIG-IP Advanced WAF and ASM bd process 

CVE-2025-54858 

K000156621 

BIG-IP Advanced WAF and ASM 

CVE-2025-58120 

K000156623 

BIG-IP Next (CNF, SPK, and Kubernetes) 

CVE-2025-53856 

K000156707 

BIG-IP TMM 

CVE-2025-61974 

K000156733 

BIG-IP SSL/TLS 

CVE-2025-58071 

K000156746 

BIG-IP IPsec 

CVE-2025-53521 

K000156741 

BIG-IP APM 

CVE-2025-61960 

K000156597 

BIG-IP APM portal access 

CVE-2025-54854 

K000156602 

BIG-IP APM 

CVE-2025-53474 

K44517780 

BIG-IP iRules 

CVE-2025-61990 

K000156912 

BIG-IP TMM 

CVE-2025-58096 

K000156691 

BIG-IP TMM 

CVE-2025-61935 

K000154664 

BIG-IP Advanced WAF and ASM 

CVE-2025-59778 

K000151718 

VELOS partition container network 

CVE-2025-58474  

(Medium Severity) 

K000148512 

Advanced WAF, ASM, and Nginx App Protect 

CVE-2025-58153  

(Medium Severity) 

K000151658 

BIG-IP High-Speed Bridge (HSB) 

Vulnérabilités de déni de service authentifié (non regroupées par produit)

CVE 

Reference 

Product/Component 

CVE-2025-47148 

K000148816 

BIG-IP APM 

CVE-2025-55670 

K000154614 

BIG-IP Next 

CVE-2025-54805 

K000151596 

BIG-IP TMM 

CVE-2025-60015 

K000156796 

F5OS 

CVE-2025-47150 

K000149820 

F5OS 

Comment Beazley Security réagit

Beazley Security surveille les appareils périmétriques des clients via notre plateforme de gestion des expositions afin d'identifier les appareils concernés et d'aider les organisations à remédier à tout problème détecté.

Si vous pensez que votre organisation a peut-être été touchée par cette campagne d'attaque et a besoin d'aide, veuillez contactez notre équipe de réponse aux incidents.

Sources

Download PDF

Aware of an incident impacting your industry? Let us know:

Report an incident