Welche Erkenntnisse wir aus unserem Sicherheitsvorfall gewinnen
Letzte Woche haben wir einen bedeutenden Sicherheitsvorfall aufgedeckt, hinter dem ein äußerst raffinierter, staatlich gesteuerter Angreifer steckt. Als CISO weiß ich, wie sich solche Nachrichten von einem Partner anfühlen. Ich kann nachvollziehen, wie belastend und störend das für Sie ist, und wir entschuldigen uns aufrichtig dafür und übernehmen die volle Verantwortung.
In der vergangenen Woche haben wir Gespräche mit Hunderten von Kunden und mit Gruppen anderer CISOs geführt. Ich danke Ihnen und der gesamten Sicherheits-Community für Ihre Zusammenarbeit und Unterstützung in dieser anspruchsvollen Zeit.
Wir nehmen uns vor, aus dem Vorfall zu lernen, und sehen deutlich, wo wir uns verbessern können. Das wichtigste, was wir bisher mitnehmen: Unsere Sicherheitskontrollen waren nicht überall gleich stark – in einigen Bereichen wirksam, in anderen weniger. Wir werden es künftig besser machen.
Unsere Teams im ganzen Unternehmen setzen sich engagiert dafür ein, Vertrauen wiederherzustellen und das Sicherheitsniveau dauerhaft zu erhöhen. Wir automatisieren Inventar- und Patch-Management stärker und optimieren Ihr Monitoring zur schnelleren Erkennung und Reaktion. Wir bauen unsere Zero-Trust-Fähigkeiten in Ihrer gesamten Infrastruktur und unseren Prozessen weiter aus. Gemeinsam mit CrowdStrike sorgen wir für erweiterte Endpunkttransparenz für F5 BIG-IP. Auf unseren eigenen Edge-Geräten mit F5 BIG-IP läuft bereits CrowdStrike EDR. Sie können diesen Schutz auch in Ihrer BIG-IP-Flotte nutzen.
Wir arbeiten weiter rund um die Uhr daran, die Situation zu lösen, und stehen Ihnen dabei partnerschaftlich zur Seite. Während wir unsere Untersuchung fortsetzen und aus dem Vorfall wertvolle Erkenntnisse gewinnen, teilen wir diese, damit Sie gemeinsam mit der Sicherheitsgemeinschaft noch wirksamer agieren können.
Hier finden Sie die Fragen, die Kunden aktuell am häufigsten stellen – mit klaren Antworten und praxisnahen Empfehlungen für Sie:
Welche Kundendaten konnte der Angreifer einsehen?
Einige der aus unserer Wissensmanagementplattform exfiltrierten Dateien enthielten Informationen zu einem kleinen Prozentsatz unserer Kunden. Wir haben weiterhin keinerlei Hinweise darauf, dass jemand auf Daten aus unserem CRM-, Finanz-, Supportfallmanagement- oder F5 iHealth-System zugegriffen oder diese exfiltriert hat. Die von uns festgestellten betroffenen Kundendaten betreffen hauptsächlich interne Notizen zu Kundeninteraktionen – darunter Informationen, die wir für Problemlösungen, die Entwicklung neuer Funktionen und Anfragen zu Fehlerbehebungen nutzen.
Wir prüfen die Dateien weiterhin gründlich. Wir arbeiten zügig, nehmen uns aber die nötige Zeit, um dir verlässliche Informationen zu liefern. Wir haben bereits alle betroffenen Kunden, deren Daten wir bisher identifiziert haben, informiert. Du erhältst direkte Updates von uns, sobald wir mehr wissen.
Wurden die exfiltrierten Informationen öffentlich oder im Darknet weitergegeben?
Bisher haben wir keine Anzeichen dafür gefunden, dass die in diesem Vorfall exfiltrierten Informationen öffentlich oder im Dark Web veröffentlicht wurden. Auch Hinweise auf eine aktive Ausnutzung der zugänglichen Anwendungsschwachstellen liegen uns nicht vor.
CISA hat wegen des Vorfalls eine Notfallanordnung herausgegeben. Müssen Sie sich Sorgen machen?
Wir wissen von keinen nicht offengelegten kritischen Schwachstellen oder Remote-Code-Ausführung oder von einer Ausnutzung der vergangenen Woche öffentlich gemachten Schwachstellen. Die CISA-Richtlinie bekräftigt jedoch nachdrücklich unseren dringenden Rat, dass Sie Ihre BIG-IP-Software umgehend aktualisieren, und unsere Empfehlung, Verwaltungsoberflächen niemals öffentlich im Internet erreichbar zu machen, sondern immer durch geeignete Segmentierung, Netzwerkisolierung und Zugriffskontrolle zu schützen.
Mit den in unserer vierteljährlichen Sicherheitsbenachrichtigung angekündigten Updates schließen wir hochkritische Sicherheitslücken bei den vom Bedrohungsakteur eingesehenen Informationen. Wir stellen Ihnen zudem hier zusätzliche Ressourcen bereit, damit Sie Ihre F5-Umgebungen gezielt absichern und überwachen können. Wir arbeiten weiterhin eng mit CISA und Ihnen zusammen, um Ihnen klare, transparente und verlässliche Einblicke in unsere Produkte zu bieten.
Warum haben Sie den Vorfall nicht früher offengelegt?
Du kannst dich darauf verlassen, dass wir beim Umgang mit Sicherheitsvorfällen auf Schnelligkeit setzen. Wir informieren dich zeitnah, verantwortlich, präzise und so, dass du direkt handeln kannst. Wir arbeiten zudem eng mit den Strafverfolgungsbehörden und unseren staatlichen Partnern zusammen.
Wie wirkt sich der Zugriff eines Bedrohungsakteurs auf den BIG-IP Quellcode aus?
Zunächst haben wir keinen Hinweis darauf, dass jemand unsere Software-Lieferkette verändert hat – dazu zählen unser Quellcode sowie unsere Build- und Release-Pipelines. Unabhängige Prüfungen der führenden Cybersicherheitsunternehmen NCC Group und IOActive stützen diese Einschätzung. Um eine sorgfältige Kontrolle sicherzustellen, lassen wir laufende Analysen weiterhin von ihnen durchführen.
Außerdem bitten wir Sie, Ihre BIG-IP-Software schnellstmöglich zu aktualisieren. Mehr als 24.000 Downloads der neuen Versionen zeigen, dass viele von Ihnen bereits auf dem Weg zur aktualisierten Software sind. Zusätzlich haben wir Ihnen über 200 individuelle Releases bereitgestellt.
Wir starten in den nächsten Wochen zusätzlich ein Bug-Bounty-Programm, mit dem Sie die Produktsicherheit weiter stärken können.
Wie startest du mit CrowdStrike Falcon auf BIG-IP?
Du kannst jetzt CrowdStrike Falcon Sensor und Overwatch Threat Hunting im Early Access auf der BIG-IP Virtual Edition (VE) nutzen. Die Verfügbarkeit für BIG-IP-Hardwaresysteme folgt in Kürze. Wenn du den Falcon Sensor von CrowdStrike direkt in die F5 BIG-IP Plattform einbindest und den CrowdStrike Falcon Adversary OverWatch Managed Threat Hunting Service nutzt, bringst du KI-gestützte, adaptive Sicherheit gezielt bis an deinen Netzwerkperimeter – genau dort, wo du den Schutz deines wichtigsten Anwendungs- und API-Datenverkehrs brauchst.
Als berechtigter BIG-IP-Kunde von F5 nutzen Sie bis zum 14. Oktober 2026 kostenfreien Zugang, damit Sie KI-native Sicherheit sowie Threat Hunting auf Netzwerkebene sofort und ohne Vorabkosten einführen können. Alle Informationen erhalten Sie als F5 BIG-IP-Kunde hier – starten Sie direkt durch.
Planen Sie, weitere Patches bereitzustellen? Dürfen wir zeitnah mit zusätzlichen Releases rechnen?
Wir halten unsere regelmäßigen BIG-IP-Updates und Fehlerbehebungen weiterhin ein. Wir beheben und kommunizieren jede Sicherheitslücke entsprechend unserer Vulnerability-Response-Policy. Basierend auf unserer Auswertung der verfügbaren Protokolle wissen wir derzeit von keinen nicht veröffentlichten kritischen oder Remote-Code-Sicherheitslücken, und uns sind keine Hinweise auf aktive Ausnutzung nicht offengelegter F5-Sicherheitslücken bekannt.
Erhalten Sie IOCs?
F5 stellt Ihnen IOCs auf Anfrage zur Verfügung. Sie können einen MyF5-Supportfall eröffnen oder direkt den F5-Support beziehungsweise Ihr Account-Team kontaktieren, um IOCs und einen Leitfaden zur Bedrohungssuche zu erhalten.
CrowdStrike hat den Leitfaden zur Bedrohungssuche entwickelt; er richtet sich nicht speziell an F5. Sie können ihn nutzen, um den Bedrohungsakteur in Ihrer eigenen Umgebung gezielt aufzuspüren.
Welche festen Versionen von BIG-IP stehen dir zur Verfügung?
Installieren Sie bitte die empfohlenen, aktuellen Versionen von BIG-IP:
- BIG-IP 17.5.1.3
- BIG-IP 17.1.3
- BIG-IP 16.1.6.1
- BIG-IP 15.1.10.8
Alle Informationen zu diesen Versionen und den von uns behobenen Sicherheitslücken finden Sie in der Quarterly Security Notification vom Oktober.
Wie gehen Sie am besten vor, wenn Sie eine End-of-Life-Version (EOL) nutzen, die F5 nicht mehr unterstützt?
Aktualisieren Sie veraltete Softwareversionen auf die aktuell von F5 unterstützten Versionen, damit Sie immer von den neuesten Sicherheitsupdates und Verbesserungen profitieren.
Wenden Sie sich direkt an den F5 Support, wenn Sie Unterstützung bei der Aktualisierung Ihrer BIG-IP Systeme benötigen.