.png)
há 6 dias
25
Crédito: F5 Photo
A F5 divulgou nesta quarta-feira (15) detalhes sobre um incidente de segurança que afetou seus sistemas internos e envolveu o acesso prolongado de um agente de ameaça ligado a um Estado-nação. A empresa informou que o invasor manteve acesso persistente e realizou o download de arquivos de alguns ambientes da companhia, incluindo o de desenvolvimento do produto BIG-IP e suas plataformas de gestão de conhecimento em engenharia.
De acordo com a F5, o ataque foi identificado em agosto de 2025 e, desde então, uma série de medidas foi adotada para conter a ameaça. A companhia afirma não ter detectado novas atividades não autorizadas desde a resposta inicial e acredita que as ações de contenção foram bem-sucedidas.
Dados comprometidos e escopo do incidente
A investigação confirmou a exfiltração de arquivos que continham parte do código-fonte do BIG-IP e informações sobre vulnerabilidades ainda não divulgadas, em desenvolvimento. No entanto, a empresa destacou que não há conhecimento de falhas críticas ou de execução remota de código não reveladas, nem indícios de exploração ativa de vulnerabilidades desconhecidas.
Veja também: Ataque vs Defesa: O papel da IA na segurança corporativa
A F5 também declarou não haver evidências de acesso ou roubo de dados em seus sistemas de CRM, finanças, suporte ou iHealth. Contudo, alguns arquivos extraídos continham informações de configuração ou implementação relacionadas a uma pequena parcela de clientes, que estão sendo notificados diretamente.
A integridade da cadeia de fornecimento de software — incluindo o código-fonte, pipelines de build e release — foi verificada e não apresentou indícios de comprometimento. Essa avaliação foi validada de forma independente pelas consultorias NCC Group e IOActive. A empresa também afirmou que os produtos NGINX, F5 Distributed Cloud Services e Silverline não foram afetados.
Medidas adotadas e orientações aos clientes
Para reforçar a proteção, a F5 lançou atualizações de segurança para os produtos BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ e APM clients, recomendando fortemente a instalação imediata das novas versões. A empresa também disponibilizou um guia de caça a ameaças e aprimorou as ferramentas de diagnóstico, incluindo verificações automáticas de endurecimento (hardening) no F5 iHealth Diagnostic Tool.
Entre as recomendações aos clientes estão a integração de eventos do BIG-IP aos sistemas de monitoramento SIEM, o uso de logs de autenticação e a aplicação de boas práticas de segurança documentadas nos artigos técnicos KB13080 e KB13426.
Parcerias e reforço na segurança interna
A F5 contratou as empresas CrowdStrike, Mandiant, NCC Group e IOActive para apoiar a resposta ao incidente e fortalecer seus ambientes corporativos e de produto. Além disso, informou colaboração contínua com autoridades e órgãos governamentais.
Como parte das medidas preventivas, a companhia rotacionou credenciais, aprimorou o controle de acesso, reforçou a arquitetura de rede e implementou novas automações de inventário, correção e monitoramento. O ambiente de desenvolvimento foi endurecido e passou por revisões adicionais de segurança.
A empresa também anunciou uma parceria com a CrowdStrike para estender o uso de sensores Falcon EDR e do serviço Overwatch Threat Hunting aos clientes do BIG-IP. A F5 oferecerá uma assinatura gratuita do Falcon EDR a todos os clientes com suporte ativo.
Compromisso com transparência
Em nota, a F5 afirmou lamentar o ocorrido e reforçou seu compromisso em aprender com o incidente e compartilhar lições com a comunidade de segurança. "Sua confiança é importante para nós. Sabemos que ela é conquistada todos os dias, especialmente quando algo dá errado", destacou a empresa.
Siga TI Inside no Instagram e tenha acesso a conteúdos exclusivos do mercado.
English (US) · 
Portuguese (BR) ·