F5 Networks – nhà cung cấp hàng đầu về giải pháp ứng dụng và bảo mật nổi tiếng với các sản phẩm như BIG-IP, NGINX và F5 Distributed Cloud Services, vừa xác nhận một sự cố an ninh nghiêm trọng xảy ra vào tháng 8/2025. Theo thông tin từ hãng, một nhóm tin tặc được nhà nước bảo trợ (nation-state) đã xâm nhập hệ thống nội bộduy trì quyền truy cập trong thời gian dài.

Phạm vi và ảnh hưởng của sự cố

Các hệ thống bị ảnh hưởng gồm môi trường phát triển sản phẩm BIG-IP và nền tảng quản lý tri thức kỹ thuật (engineering knowledge management). Tin tặc đã tải xuống một phần mã nguồn BIG-IP, thông tin về các lỗ hổng chưa công bố, cùng một số dữ liệu cấu hình và triển khai của một số ít khách hàng.

F5 khẳng định không có bằng chứng cho thấy mã nguồn NGINX, chuỗi cung ứng phần mềm hay pipeline build bị chỉnh sửa. Ngoài ra, dữ liệu CRM, tài chính, iHealth và hệ thống hỗ trợ khách hàng không bị truy cập, và chưa có dấu hiệu khai thác lỗ hổng trong môi trường thực tế.

Nguyên nhân và biện pháp khắc phục

Sự cố được cho là do một nhóm tin tặc trình độ cao thực hiện, duy trì truy cập vào hạ tầng F5 trong thời gian dài. F5 đã nhanh chóng triển khai hàng loạt biện pháp ứng phó:

  • •  Cắt quyền truy cập, thay đổi toàn bộ thông tin xác thực liên quan.
  • •  Tăng cường kiểm soát truy cập, triển khai giám sát an ninh nâng cao.
  • •  Nâng cấp hệ thống phát hiện và phản ứng (EDR) với hỗ trợ từ CrowdStrike Falcon và Overwatch Threat Hunting.
  • •  Phối hợp điều tra cùng các đơn vị an ninh hàng đầu như CrowdStrike, Mandiant, NCC Group và IOActive.
  • •  Đánh giá lại mã nguồn và thực hiện kiểm thử thâm nhập (penetration test) toàn diện cho các sản phẩm.

F5 cũng đã phát hành bản vá bảo mật tháng 10/2025 cho các sản phẩm BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ và APM Clients nhằm xử lý các lỗ hổng tiềm ẩn.

Khuyến nghị dành cho khách hàng của F5

1. Thực hiện cập nhật bản vá sớm nhất có thể

Cài đặt bản cập nhật bảo mật mới nhất trong Quarterly Security Notification (10/2025). Việc cập nhật kịp thời giúp giảm thiểu nguy cơ khai thác lỗ hổng tiềm ẩn.

2. Tăng cường giám sát và phát hiện mối đe dọa

Sử dụng Threat Hunting Guide từ F5 (truy cập qua MyF5 Support). Kích hoạt BIG-IP event streaming tới SIEM để theo dõi đăng nhập, xác thực thất bại và thay đổi quyền cấu hình. Tham khảo hướng dẫn KB13080KB13426 của F5.

3. Củng cố cấu hình và kiểm tra bảo mật tự động

Thực hiện các biện pháp hardening theo hướng dẫn chính thức của F5 theo hướng dẫn chính thức của F5:K53108777.

Sử dụng F5 iHealth Diagnostic Tool để tự động kiểm tra và nhận hướng dẫn khắc phục chi tiết.

4. Theo dõi thông tin chính thức

Cập nhật thường xuyên tại trang Security Notification của F5. Mở MyF5 Support Case hoặc liên hệ bộ phận F5 Support để được hỗ trợ kiểm tra và cấu hình bảo mật.

Tác động và bài học bảo mật

Dù chưa có bằng chứng mã nguồn bị chỉnh sửa, việc rò rỉ mã nguồn và dữ liệu nội bộ vẫn làm tăng nguy cơ tấn công chuỗi cung ứng trong tương lai. Các tổ chức đang sử dụng BIG-IP hoặc sản phẩm liên quan cần chủ động rà soát môi trường, tăng cường giám sát lưu lượng, và triển khai các bản vá bảo mật ngay lập tức.

Sự cố này tiếp tục nhấn mạnh rủi ro trong chuỗi cung ứng phần mềm và tầm quan trọng của bảo mật môi trường phát triển. F5 cam kết minh bạch thông tin, đồng thời khuyến nghị khách hàng tuân thủ đầy đủ các biện pháp bảo mật để bảo vệ hệ thống của mình.

HPT đồng hành cùng doanh nghiệp trong bảo mật hệ thống

Với năng lực chuyên sâu trong giám sát an ninh mạng (SOC), phản ứng sự cố (IR) và tư vấn bảo mật chuyên sâu, HPT sẵn sàng hỗ trợ doanh nghiệp:

  • •  Kiểm tra và đánh giá rủi ro hệ thống BIG-IP.
  • •  Thiết lập giám sát SIEM và cảnh báo sớm.
  • • Triển khai và cập nhật bản vá bảo mật kịp thời.

Liên hệ Trung tâm Giám sát An ninh mạng (HSOC) – HPT để được tư vấn và hỗ trợ chi tiết.

Bài viết được tổng hợp bởi Trung tâm Giám sát An ninh mạng (HSOC) – HPT