F5

A organização sem fins lucrativos Shadowserver identificou mais de 14 mil instâncias do BIG-IP APM expostas na internet, em meio a ataques que exploram uma vulnerabilidade crítica de execução remota de código (RCE). O BIG-IP APM, uma solução da F5 para gerenciamento de acesso, foi inicialmente classificado como uma vulnerabilidade de negação de serviço (DoS) em outubro, mas foi reclassificado como RCE após novas informações surgirem em março de 2026. A F5 alertou que atacantes sem privilégios estão explorando essa falha em sistemas não corrigidos, especialmente aqueles com políticas de acesso configuradas em servidores virtuais. Apesar de uma ordem da CISA para que agências federais protegessem seus sistemas até a meia-noite de segunda-feira, mais de 14 mil instâncias permanecem vulneráveis. A F5 também forneceu indicadores de comprometimento e recomendações para verificar logs e discos em busca de atividades maliciosas, sugerindo a reconstrução dos sistemas afetados a partir de fontes confiáveis para evitar a persistência de malware. A empresa atende mais de 23 mil clientes, incluindo grandes corporações, e suas vulnerabilidades têm sido alvo de grupos de cibercrime e nações-estado nos últimos anos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica no F5 BIG-IP Access Policy Manager (APM) em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2025-53521, possui uma pontuação CVSS v4 de 9.3, permitindo que um ator malicioso execute código remotamente. Inicialmente classificada como uma vulnerabilidade de negação de serviço (DoS), a F5 reclassificou-a após novas informações em março de 2026. A empresa confirmou que a falha foi explorada nas versões vulneráveis do BIG-IP e forneceu indicadores para verificar se o sistema foi comprometido, incluindo alterações em arquivos e logs específicos. As versões afetadas incluem 17.5.0 a 17.5.1, 17.1.0 a 17.1.2, entre outras. Diante da exploração ativa, agências federais têm até 30 de março de 2026 para aplicar as correções necessárias. Especialistas alertam que a situação representa um risco significativamente maior do que o inicialmente comunicado, exigindo atenção imediata dos administradores de sistema.

Recentes incidentes de cibersegurança revelam que brechas silenciosas estão se tornando comuns, com atacantes permanecendo nas redes por longos períodos sem serem detectados. Um dos casos mais alarmantes envolve a F5, que anunciou a violação de seus sistemas por atores desconhecidos, resultando no roubo de códigos fonte do BIG-IP e informações sobre vulnerabilidades não divulgadas. Acredita-se que os atacantes, associados a um grupo de espionagem da China, estavam ativos na rede da F5 por pelo menos 12 meses.

Um recente incidente de segurança deixou mais de 269.000 dispositivos de rede da F5 expostos na internet, conforme dados da Shadowserver Foundation. Esses dispositivos, que incluem controladores de entrega de aplicativos (ADCs) e balanceadores de carga, desempenham funções críticas nas redes corporativas, como a terminação de SSL/TLS e mitigação de DDoS. A exposição resulta de uma violação de rede reconhecida pela F5 em um aviso de segurança recente. A Shadowserver Foundation detecta cerca de 269.000 endereços IP expostos diariamente, com quase metade localizada nos Estados Unidos, o que indica um impacto potencial significativo para empresas e infraestruturas americanas. A F5 publicou um artigo de base de conhecimento para orientar as organizações afetadas. A falta de configuração adequada ou sistemas não atualizados pode permitir acesso administrativo total aos atacantes, que podem explorar esses sistemas para obter dados sensíveis ou lançar ataques adicionais. As organizações que utilizam produtos da F5 são fortemente aconselhadas a revisar as orientações de segurança da empresa e verificar os relatórios da Shadowserver para identificar se seus dispositivos estão entre os expostos.

A F5 Networks revelou um incidente de segurança que afetou seus ambientes internos, onde um ator de ameaça sofisticado, possivelmente um agente estatal, obteve acesso persistente e exfiltrou arquivos de sistemas críticos, incluindo o ambiente de desenvolvimento do produto BIG-IP. A empresa confirmou que ações de contenção foram bem-sucedidas e que não houve atividade não autorizada desde o início da resposta em agosto de 2025. Entre os arquivos acessados estão partes do código-fonte do BIG-IP e informações sobre vulnerabilidades não divulgadas em desenvolvimento. No entanto, a F5 assegurou que não há evidências de exploração ativa de falhas críticas ou de manipulação da cadeia de suprimentos. A empresa recomenda que seus clientes apliquem imediatamente atualizações de segurança e implementem práticas de endurecimento para mitigar riscos. A F5 também está colaborando com especialistas em segurança e autoridades para investigar o incidente e melhorar suas defesas. A situação destaca a importância de monitoramento contínuo e resposta rápida a incidentes de segurança.

A empresa de cibersegurança F5 anunciou que sistemas internos foram comprometidos por um ator de ameaça estatal altamente sofisticado, resultando no roubo de arquivos que incluem código-fonte do BIG-IP e informações sobre vulnerabilidades não divulgadas. A violação foi detectada em 9 de agosto de 2025, e a F5 tomou medidas para conter a ameaça, incluindo a contratação de especialistas da Google Mandiant e CrowdStrike. Embora a empresa não tenha especificado a duração do acesso não autorizado, afirmou que não há evidências de que as vulnerabilidades tenham sido exploradas de forma maliciosa. No entanto, alguns arquivos extraídos continham informações de configuração que podem afetar uma pequena porcentagem de clientes, que serão notificados diretamente. A F5 recomenda que os usuários apliquem as atualizações mais recentes para seus produtos, como BIG-IP e F5OS, para garantir a proteção adequada.