Mentre Washington lotta con il quindicesimo giorno di shutdown governativo, che tra le varie cose ha ridotto la CISA (Cybersecurity and Infrastructure Security Agency) a soli 889 dipendenti operativi (il 35% del personale), attori nation-state altamente sofisticati hanno penetrato le difese di F5 Networks, rubando codice sorgente BIG-IP, dettagli di vulnerabilità non divulgate e dati di configurazione di una piccola percentuale di clienti. Un attacco che dimostra come la geopolitica digitale non conosca pause istituzionali.​

Con BIG-IP si intende una famiglia di Application Delivery Controller (ADC) di F5 che fornisce servizi avanzati per il traffico di rete, tra cui il bilanciamento del carico, la sicurezza e l’ottimizzazione delle applicazioni. Questi servizi offrono funzionalità come l’offload SSL/TLS, la gestione del DNS, i firewall e la visibilità del traffico criptato, migliorando così la disponibilità, la sicurezza e le prestazioni delle applicazioni.

L’intrusione, scoperta ad agosto, rivela un livello di sofisticazione che va oltre il cybercrime tradizionale. Gli aggressori hanno mantenuto accesso persistente per mesi alle piattaforme di sviluppo e ingegneria BIG-IP, dimostrando capacità di lateral movement e stealth operation tipiche delle Advanced Persistent Threat (APT) statali.​

splunk sicurezza

Crediti: Shutterstock

F5 ha dovuto ritardare la disclosure pubblica su autorizzazione del Dipartimento di Giustizia americano, una procedura riservata esclusivamente ai casi in cui la divulgazione immediata pone un rischio sostanziale alla sicurezza nazionale o pubblica. Un dettaglio tecnico-legale che sottolinea la gravità strategica dell’incidente, considerando che i prodotti BIG-IP sono distribuiti in migliaia di istanze attraverso le agenzie federali.​

F5 assicura però che la supply chain, i sistemi CRM, finanziari, di gestione dei ticket di supporto o la piattaforma iHealth non sono stati compromessi, con verifiche indipendenti condotte da NCC Group e IOActive che hanno confermato l’integrità dei processi di build e release.​

La direttiva di emergenza impone a tutte le agenzie federali di inventariare e aggiornare le istanze F5 BIG-IP hardware e software entro il 22 ottobre 2025. Una timeline serrata che riflette l’urgenza operativa, mentre F5 ha simultaneamente rilasciato patch per 45 vulnerabilità, un volume che suggerisce revisioni di sicurezza approfondite post-breach.​

Sebbene né F5, né la CISA abbiano formalmente attribuito l’attacco, Google Mandiant aveva precedentemente accusato spie cinesi di sfruttare vulnerabilità critical-severity in prodotti F5 BIG-IP per vendere accesso a organizzazioni della difesa USA e agenzie governative britanniche. Il pattern di attacco corrisponde in effetti alle campagne APT cinesi caratterizzate da persistenza a lungo termine e targeting di infrastrutture critiche.​

(Immagine in apertura: Shutterstock)