Aprendizados que tiramos do nosso incidente de segurança
Na semana passada, comunicamos um grande incidente de segurança envolvendo um agente de ameaça estatal extremamente sofisticado. Como CISO, sei como é receber esse tipo de notícia de um parceiro. Compreendo o quanto essa situação foi difícil e impactante para você, e peço desculpas sinceras. Assumimos total responsabilidade pelo incidente.
Na última semana, falamos com centenas de clientes e também com grupos de outros CISOs. Agradeço a você, nosso cliente, e à comunidade de segurança pela parceria neste momento desafiador.
Queremos aprender com esse incidente e reconhecemos que você espera melhorias da nossa parte. O principal aprendizado até agora: Nossos controles funcionaram bem em algumas áreas, mas deixaram a desejar em outras. Vamos fazer melhor.
Nossas equipes se mobilizaram rapidamente para agir de forma coordenada, restaurando a confiança e elevando de forma definitiva o padrão de segurança. Aumentamos a automação do inventário e do gerenciamento de patches, além de reforçar o monitoramento para você detectar e responder de forma mais eficiente. Vamos ampliar os recursos de zero-trust em toda a infraestrutura e operação, e estamos junto com a CrowdStrike para levar mais visibilidade de endpoint ao F5 BIG-IP. Inclusive, já rodamos o CrowdStrike EDR nos nossos dispositivos BIG-IP de borda corporativa. Você também pode contar com essa mesma proteção para o seu parque BIG-IP.
Seguimos trabalhando incansavelmente para resolver a situação, junto com você em cada etapa. Enquanto investigamos e aprendemos com o ocorrido, vamos compartilhar os principais aprendizados para ajudar a fortalecer ainda mais a comunidade de segurança.
Pensando nisso, você encontra abaixo as perguntas mais comuns que recebemos de clientes no momento, com respostas e orientações para cada uma:
Quais dados de clientes o invasor acessou?
Alguns arquivos extraídos da nossa plataforma de gerenciamento de conhecimento traziam informações relacionadas a uma pequena porcentagem de clientes. Reforçamos que, até agora, não encontramos indícios de acesso ou exfiltração de dados dos sistemas CRM, financeiro, de gestão de chamados de suporte ou F5 iHealth. Os dados de clientes afetados que localizamos são, em sua maioria, anotações internas sobre interações com clientes, podendo conter informações usadas para solução de problemas, desenvolvimento de recursos e solicitações de correção de erros.
Estamos realizando uma análise detalhada desses arquivos. Mesmo agindo com agilidade, dedicamos o tempo necessário para garantir informações precisas. Já avisamos os clientes cujos dados identificamos até agora e vamos manter você informado diretamente conforme surgirem novidades.
A informação exfiltrada já foi divulgada publicamente ou na Dark Web?
Até agora, você não teve suas informações do incidente compartilhadas publicamente ou na Dark Web, e também não identificamos indícios de exploração ativa das vulnerabilidades acessadas.
A CISA emitiu uma Diretriz de Emergência sobre o incidente. Você precisa se preocupar?
Não identificamos vulnerabilidades críticas ou de execução remota de código não divulgadas, nem casos de exploração das vulnerabilidades já comunicadas na semana passada. Contudo, a diretriz da CISA reforça dois pontos importantes: primeiro, nossa forte recomendação para que você atualize o software BIG-IP o quanto antes; segundo, a orientação de sempre proteger as interfaces de gerenciamento, que não devem ficar expostas à Internet pública, usando segmentação adequada, isolamento de rede e controle de acesso.
As atualizações que anunciamos em nossa Notificação de Segurança Trimestral tratam vulnerabilidades de alta gravidade nas informações acessadas pelo agente da ameaça. Você pode acessar recursos extras que ajudam a proteger e monitorar seu ambiente F5 aqui. Vamos continuar colaborando de perto com a CISA e com você para garantir clareza, transparência e confiança em nossos produtos.
Por que você não comunicou o incidente antes?
Sabemos como a agilidade na comunicação sobre incidentes de segurança faz diferença. Por isso, nos dedicamos a informar você sobre o incidente de maneira rápida, responsável, precisa e útil. Também atuamos em parceria com órgãos policiais e nossos parceiros no governo.
Como o acesso de um agente de ameaça ao código fonte do BIG-IP pode impactar você?
Em primeiro lugar, você pode ter certeza de que não identificamos nenhuma alteração em nossa cadeia de fornecimento de software, incluindo nosso código fonte e nossos pipelines de criação e entrega. Especialistas independentes das empresas líderes NCC Group e IOActive revisaram e validaram essa avaliação. Seguiremos contando com eles para garantir uma análise contínua e manter um controle rigoroso.
Além disso, recomendamos que você atualize seu software BIG-IP o quanto antes. As novas versões já tiveram 24.000 downloads, então muitos clientes estão no caminho certo para usar o software atualizado. Também entregamos mais de 200 versões personalizadas para clientes.
Nas próximas semanas, vamos lançar um programa de recompensas por bugs para reforçar ainda mais a segurança dos nossos produtos.
Como você pode começar a usar o CrowdStrike Falcon no BIG-IP?
CrowdStrike Falcon Sensor e Overwatch Threat Hunting já estão disponíveis para acesso antecipado na BIG-IP Virtual Edition (VE), e em breve você também encontrará essas soluções nos sistemas de hardware BIG-IP. Você pode incorporar o Falcon Sensor da CrowdStrike diretamente na plataforma F5 BIG-IP e usar o serviço gerenciado de caça a ameaças CrowdStrike Falcon Adversary OverWatch. Assim, levamos a segurança adaptável e baseada em IA para o perímetro da rede, onde fica concentrado o tráfego mais crítico de APIs e aplicações das empresas.
Você que é cliente BIG-IP elegível pode acessar gratuitamente até 14 de outubro de 2026, aproveitando já a adoção da segurança nativa em IA e a caça a ameaças em nível de rede, sem custos iniciais. Se você usa F5 BIG-IP e tem interesse, veja mais detalhes e comece aqui.
Você vai lançar mais patches? Devemos esperar novas versões em breve?
Nós seguimos trazendo atualizações e correções do BIG-IP com regularidade. Você vai ser informado sobre qualquer vulnerabilidade conforme nossa política de resposta a vulnerabilidades. Até o momento, analisando os logs que temos, não identificamos vulnerabilidades críticas ou remotas de código não divulgadas e não recebemos relatos sobre exploração ativa de vulnerabilidades F5 não divulgadas.
Você pode receber os IOCs?
Você pode solicitar os IOCs se for cliente F5. Você abre um chamado no MyF5, fala diretamente com o suporte F5 ou com sua equipe de conta para receber os IOCs e um guia de investigação de ameaças.
A CrowdStrike preparou o guia de caça a ameaças, que não se aplica exclusivamente ao F5. Você pode usar esse guia para buscar o agente da ameaça em seu próprio ambiente.
Quais versões do BIG-IP você pode utilizar para corrigir o problema?
Veja quais versões atualizadas do BIG-IP você deve instalar:
- BIG-IP 17.5.1.3
- BIG-IP 17.1.3
- BIG-IP 16.1.6.1
- BIG-IP 15.1.10.8
Você encontra mais informações sobre esses lançamentos e as vulnerabilidades que corrigimos na Notificação de Segurança Trimestral de outubro.
O que você deve fazer se estiver usando uma versão fora de suporte (EOL) pelo F5?
Recomendamos que você atualize rapidamente qualquer versão EOL de software para as atualmente suportadas pela F5, assim você garante os updates e melhorias de segurança mais recentes.
Fale diretamente com o suporte da F5 para atualizar seus sistemas BIG-IP.