Sicherheitsforscher haben bei F5 Networks eine schwerwiegende Kompromittierung aufgedeckt, an der die BIG-IP-Appliances beteiligt waren. Hacker, die mit einer China-Nexus-Bedrohungsgruppe namens UNC5221 in Verbindung stehen, verschafften sich dauerhaften Zugriff auf die internen Systeme von F5 und legten den Grundstein für eine scheinbar hochentwickelte Backdoor-Kampagne. Die Gruppe blieb in einigen Systemen mindestens ein Jahr lang unentdeckt.
F5 identifizierte verdächtige Aktivitäten erstmals am 9. August 2025 und gab den Vorfall erst am 15. Oktober nach Rücksprache mit den US-Strafverfolgungsbehörden öffentlich bekannt. Das Unternehmen räumte ein, dass Quellcode und interne Konfigurationsdaten für BIG-IP-Systeme gestohlen wurden.
Die Brickstorm-Hintertür und wie sie funktioniert
Die Hintertür, die in dieser Kampagne verwendet wurde, wurde Brickstorm genannt. Forscher beschreiben es als eine eigenständige, ausführbare Datei, die in Go integriert ist und speziell für Edge-Appliance-Umgebungen entwickelt wurde, in denen herkömmliche Sicherheitstools spärlich sind. Es unterstützt ausgehende verschlüsselte Verbindungen, die normalen Webverkehr nachahmen, Upgrades auf WebSocket für Befehl und Kontrolle und nutzt sogar Proxying im SOCKS-Stil, damit sich Angreifer unentdeckt im Netzwerk bewegen können.
Im Gegensatz zu vielen Malware-Familien, die auf Malware angewiesen sind, die auf Endpunkten abgelegt wird, zielt Brickstorm auf Netzwerkmanagement-Appliances wie BIG-IP ab und verwandelt sie in heimliche, langfristige Ausgangspunkte für Angreifer. Protokolle und Telemetrie sind minimal, was die Erkennung sehr schwierig macht.
Gestohlener Code erhöht den Einsatz
Was diese Sicherheitsverletzung besonders besorgniserregend macht, ist der Diebstahl von proprietärem Quellcode und internen Schwachstelleninformationen von F5. Dies gibt den Angreifern potenziellen Einblick in nicht offengelegte Fehler in BIG-IP und verwandten Produkten. Experten warnen, dass dies die Entdeckung von Zero-Day-Exploits beschleunigen und anfällige Geräte leichter als Waffen einsetzen könnte.
Als Reaktion darauf hat die Cybersecurity and Infrastructure Security Agency (CISA) die Notfallrichtlinie ED 26-01 erlassen, die Bundesbehörden dazu verpflichtet, F5 BIG-IP-Geräte zu inventarisieren, Verwaltungsschnittstellen nach Möglichkeit aus dem Internet zu entfernen und Patches sofort anzuwenden.
Was bedeutet das für Organisationen?
Für jedes Unternehmen, das F5 BIG-IP-Appliances verwendet, signalisiert die Sicherheitsverletzung dringendes Handeln. Netzwerklastausgleichs- und Traffic-Management-Systeme, die oft vertrauenswürdig sind und weniger überwacht werden, können jetzt als Dreh- und Angelpunkte in internen Netzwerken eingesetzt werden.
Organisationen sollten:
- Inventarisieren Sie alle Appliances und prüfen Sie, ob die Verwaltungskonsolen mit dem Internet verbunden sind.
- Wenden Sie die neueste Firmware und Sicherheitsupdates von F5 an.
- Segmentieren Sie den Netzwerkverkehr, sodass sich die Appliance-Verwaltung nicht auf denselben Vertrauensspuren befindet wie Unternehmensressourcen.
- Überwachen Sie auf abnormalen ausgehenden Datenverkehr, der Browser-Upload-Mustern oder WebSocket-Tunneln ähnelt
Selbst wenn ein Netzwerk noch nicht infiziert ist, muss das bestehende Bedrohungsmodell geändert werden, um Management-Appliances als Ressourcen mit hoher Priorität zu behandeln.
F5 sagt, es habe keine Beweise dafür, dass die gestohlenen Schwachstellen bisher in freier Wildbahn ausgenutzt wurden, warnt aber davor, dass die Fähigkeit existiert und als unmittelbare Bedrohung behandelt werden muss. Unternehmen sollten nicht davon ausgehen, dass “noch” “nie” bedeutet.
Zukünftige Angriffskampagnen können ältere Schwachstellen aggressiver einsetzen, den gestohlenen Quellcode für neuartige Exploits nutzen oder Angriffe auf die Lieferkette initiieren, die durch Appliance-Ökosysteme geleitet werden. Im Moment müssen die Beobachter davon ausgehen, dass die Angreifer bereits tiefe Einblicke haben und den nächsten Schritt planen.