Shadowserver Foundation องค์กรไม่แสวงหาผลกำไรด้านความปลอดภัยทางอินเทอร์เน็ต พบ F5 BIG-IP Instances กว่า 266,000 รายการที่มีช่องโหว่ ถูกเปิดให้เข้าถึงได้จากอินเทอร์เน็ต หลังจากที่ F5 ได้ออกมาเปิดเผยการโจมตีช่องโหว่ที่เพิ่งถูกค้นพบ
F5 ได้ออกมาเปิดเผยว่า Hacker จากหลายประเทศ ได้เจาะระบบเครือข่ายของบริษัท และขโมยซอร์สโค้ด และข้อมูลของช่องโหว่ด้านความปลอดภัยของ BIG-IP ที่ไม่ได้ถูกเปิดเผย แต่ไม่พบหลักฐานว่า Hacker ได้เผยแพร่ หรือใช้ประโยชน์จากช่องโหว่ที่ยังไม่ถูกเปิดเผยในการโจมตี
รวมถึง F5 ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ 44 รายการ (รวมถึงช่องโหว่ที่ถูกขโมยไปจากการโจมตีทางไซเบอร์) และแจ้งเตือนให้ลูกค้าทำการอัปเดตอุปกรณ์โดยเร็วที่สุด
F5 ระบุว่า "แพตซ์อัปเดตสำหรับ BIG-IP, F5OS, BIG-IP Next สำหรับ Kubernetes, BIG-IQ และ APM clients สามารถอัปเดตได้แล้ว" แม้ว่าจะยังไม่มีข้อมูลเกี่ยวกับการโจมตีช่องโหว่สำคัญ หรือการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล แต่ขอแนะนำอย่างยิ่งให้อัปเดตซอฟต์แวร์ BIG-IP โดยเร็วที่สุด
แม้ว่าจะยังไม่ได้รับการยืนยันต่อสาธารณะ แต่ F5 ก็ได้เชื่อมโยงการโจมตีนี้กับประเทศจีนในคำแนะนำส่วนตัวที่แชร์กับลูกค้า ตามรายงานของ Bloomberg
F5 ยังได้แชร์คู่มือการตรวจสอบการโจมตีกับลูกค้า ซึ่งระบุถึงมัลแวร์ Brickstorm ซึ่งเป็น backdoor ที่ถูกพัฒนาโดยใช้ภาษา Go-based ซึ่ง Google ค้นพบครั้งแรกในเดือนเมษายน 2024 ระหว่างการสืบสวนการโจมตีของกลุ่ม UNC5291 China-nexus ซึ่ง F5 ยังแจ้งลูกค้าว่า Hacker เหล่านี้ได้ดำเนินการอยู่ในเครือข่ายของบริษัทมาอย่างน้อยหนึ่งปีแล้ว
ก่อนหน้านี้กลุ่ม UNC5291 ได้ถูกเชื่อมโยงกับการโจมตีช่องโหว่ Zero-Day ของ Ivanti ในการโจมตีหน่วยงานรัฐบาล โดยใช้มัลแวร์ที่สร้างขึ้นเอง เช่น Zipline และ Spawnant
ขณะนี้ทาง Shadowserver Internet watchdog group กำลังติดตาม IP addresses จำนวน 266,978 รายการ ด้วย F5 BIG-IP fingerprint โดยเกือบครึ่งหนึ่ง (มากกว่า 142,000 IP) อยู่ในสหรัฐอเมริกา และอีก 100,000 IP ที่อยู่ในยุโรป และเอเชีย อย่างไรก็ตาม ยังไม่มีข้อมูลว่ามี IP addresses จำนวนเท่าใดที่ทำการอัปเดตแพตช์เพื่อแก้ไขช่องโหว่ไปแล้ว
CISA ยังได้ออกคำสั่งฉุกเฉินโดยกำหนดให้หน่วยงานรัฐบาลกลางสหรัฐฯ รักษาความปลอดภัยผลิตภัณฑ์ F5OS, BIG-IP TMOS, BIG-IQ และ BNK/CNF โดยการติดตั้งแพตช์อัปเดตความปลอดภัยล่าสุดของ F5 ภายในวันที่ 22 ตุลาคม 2025 ขณะที่อุปกรณ์ฮาร์ดแวร์ และซอฟต์แวร์อื่น ๆ ของ F5 บนระบบเครือข่าย ได้ขยายกำหนดเวลาออกไปเป็นวันที่ 31 ตุลาคม 2025
CISA ยังสั่งให้ตัดการเชื่อมต่อ และปิดการทำงานของอุปกรณ์ F5 ทั้งหมดที่เชื่อมต่อกับอินเทอร์เน็ต ซึ่งได้สิ้นสุดการสนับสนุนแล้ว (end-of-support) เนื่องจากอุปกรณ์เหล่านี้จะไม่ได้รับแพตช์อีกต่อไป และเสี่ยงต่อการถูกโจมตีได้ง่าย
ในช่วงไม่กี่ปีที่ผ่านมา กลุ่มภัยคุกคามที่ได้รับการสนับสนุนจากรัฐบาล และกลุ่มอาชญากรรมไซเบอร์ต่างมุ่งเป้าไปที่ช่องโหว่ F5 BIG-IP เพื่อทำแผนผัง internal servers, แฮ็กอุปกรณ์บนเครือข่ายของเหยื่อ, เจาะระบบเครือข่ายขององค์กร, ขโมยไฟล์สำคัญ และใช้มัลแวร์เพื่อลบข้อมูล
อุปกรณ์ F5 BIG-IP ที่ถูกโจมตียังทำให้ Hacker สามารถขโมยข้อมูล Credentials และ API keys, โจมตีต่อไปภายในเครือข่ายของเป้าหมาย และแฝงตัวอยู่ในระบบ
ผู้ใช้งานสามารถตรวจสอบรายการอัปเดตด้านความปลอดภัยได้จาก K000156572: Quarterly Security Notification (October 2025) [https://my[.]f5[.]com/manage/s/article/K000156572]
ที่มา : bleepingcomputer
You must be logged in to post a comment.