Des chercheurs en sécurité ont découvert une grave compromission chez F5 Networks impliquant leurs appliances BIG-IP. Des pirates informatiques liés à un groupe de menaces lié à la Chine connu sous le nom de UNC5221 ont obtenu un accès persistant aux systèmes internes de F5 et ont jeté les bases de ce qui semble être une campagne de porte dérobée très avancée. Le groupe n’a pas été détecté dans certains systèmes pendant au moins un an.
F5 a identifié pour la première fois une activité suspecte le 9 août 2025 et n’a divulgué l’incident publiquement que le 15 octobre, après avoir consulté les forces de l’ordre américaines. L’entreprise a admis que le code source et les données de configuration internes des systèmes BIG-IP avaient été volés.
La porte dérobée Brickstorm et son fonctionnement
La porte dérobée utilisée dans cette campagne a été surnommée Brickstorm. Les chercheurs le décrivent comme un exécutable autonome intégré à Go, conçu spécifiquement pour les environnements d’appliance de périphérie où les outils de sécurité traditionnels sont rares. Il prend en charge les connexions chiffrées sortantes qui imitent le trafic Web normal, les mises à niveau vers WebSocket pour la commande et le contrôle, et exploite même le proxy de type SOCKS pour que les attaquants puissent se déplacer à l’intérieur du réseau sans être détectés.
Contrairement à de nombreuses familles de logiciels malveillants qui s’appuient sur le dépôt de logiciels malveillants sur les terminaux, Brickstorm cible les appliances de gestion de réseau telles que BIG-IP, les transformant en points de sortie furtifs à long terme pour les attaquants. Les journaux et la télémétrie sont minimes, ce qui rend la détection très difficile.
Le code volé fait monter les enchères
Ce qui rend cette violation particulièrement préoccupante, c’est le vol de code source propriétaire et d’informations de vulnérabilité internes de F5. Cela donne aux attaquants une visibilité potentielle sur les failles non divulguées de BIG-IP et des produits connexes. Les experts préviennent que cela pourrait accélérer la découverte d’exploits zero-day et rendre les appareils vulnérables plus facilement militarisés.
En réponse, la Cybersecurity and Infrastructure Security Agency (CISA) a publié la directive d’urgence ED 26-01, exigeant des agences fédérales qu’elles inventorient les appareils F5 BIG-IP, suppriment les interfaces de gestion d’Internet si possible et appliquent immédiatement des correctifs.
Ce que cela signifie pour les organisations
Pour toute entreprise utilisant des appliances F5 BIG-IP, la violation signale une action urgente. Les systèmes d’équilibrage de la charge réseau et de gestion du trafic, qui sont souvent fiables et moins surveillés, peuvent désormais être utilisés comme des pivots dans les réseaux internes.
Les organisations doivent :
- Faites l’inventaire de toutes les appliances et vérifiez si les consoles de gestion sont exposées à Internet
- Appliquez les dernières mises à jour du micrologiciel et de la sécurité de F5
- Segmentez le trafic réseau afin que la gestion des appliances ne se trouve pas sur les mêmes voies de confiance que les ressources de l’entreprise
- Surveillez le trafic sortant anormal qui ressemble à des modèles de téléchargement de navigateur ou à des tunnels WebSocket
Même si un réseau n’est pas encore infecté, le modèle de menace existant doit évoluer pour traiter les appliances de gestion comme des actifs hautement prioritaires.
F5 dit qu’il n’a aucune preuve que les failles volées ont jusqu’à présent été exploitées dans la nature, mais avertit que la capacité existe et doit être traitée comme une menace imminente. Les organisations ne doivent pas supposer que « encore » signifie « jamais ».
Les futures campagnes d’attaque peuvent déployer des vulnérabilités plus anciennes de manière plus agressive, exploiter le code source volé pour de nouveaux exploits ou lancer des attaques de la chaîne d’approvisionnement via des écosystèmes d’appliances. Pour l’instant, les observateurs doivent supposer que les attaquants ont déjà une connaissance approfondie et planifient la prochaine étape.