I ricercatori di sicurezza hanno scoperto una grave compromissione di F5 Networks che coinvolge le loro appliance BIG-IP. Gli hacker collegati a un gruppo di minacce Cina-nexus noto come UNC5221 ottenuto l’accesso persistente ai sistemi interni di F5 e hanno gettato le basi per quella che sembra essere una campagna backdoor altamente avanzata. Il gruppo è rimasto inosservato in alcuni sistemi per almeno un anno.
F5 ha identificato per la prima volta attività sospette il 9 agosto 2025 e ha divulgato pubblicamente l’incidente solo il 15 ottobre dopo essersi consultato con le forze dell’ordine statunitensi. La società ha ammesso che il codice sorgente e i dati di configurazione interni per i sistemi BIG-IP sono stati rubati.
La backdoor di Brickstorm e come funziona
La backdoor utilizzata in questa campagna è stata soprannominata Brickstorm. I ricercatori lo descrivono come un eseguibile autonomo integrato in Go, progettato specificamente per gli ambienti edge-appliance in cui gli strumenti di sicurezza tradizionali sono scarsi. Supporta connessioni crittografate in uscita che imitano il normale traffico web, si aggiorna a WebSocket per il comando e il controllo e sfrutta persino il proxy in stile SOCKS in modo che gli aggressori possano muoversi all’interno della rete senza essere rilevati.
A differenza di molte famiglie di malware che si basano sul rilascio di malware sugli endpoint, Brickstorm prende di mira le appliance di gestione della rete come BIG-IP, trasformandole in punti di uscita furtivi e a lungo termine per gli aggressori. I log e i dati di telemetria sono minimi, rendendo il rilevamento molto difficile.
Il codice rubato alza la posta in gioco
Ciò che rende questa violazione particolarmente preoccupante è il furto di codice sorgente proprietario e informazioni interne sulle vulnerabilità da F5. Ciò offre agli aggressori una potenziale visibilità su difetti non divulgati in BIG-IP e prodotti correlati. Gli esperti avvertono che questo potrebbe accelerare la scoperta di exploit zero-day e rendere gli elettrodomestici vulnerabili più facilmente utilizzabili come arma.
In risposta, la Cybersecurity and Infrastructure Security Agency (CISA) ha emesso la direttiva di emergenza ED 26-01, che richiede alle agenzie federali di inventariare i dispositivi F5 BIG-IP, rimuovere le interfacce di gestione da Internet, se possibile, e applicare immediatamente le patch.
Cosa significa questo per le organizzazioni
Per qualsiasi azienda che utilizza appliance F5 BIG-IP, la violazione segnala un’azione urgente. I sistemi di bilanciamento del carico di rete e di gestione del traffico, spesso affidabili e meno monitorati, possono ora essere utilizzati come strumenti per trasformare i pivot nelle reti interne.
Le organizzazioni dovrebbero:
- Inventariare tutti gli elettrodomestici e verificare se le console di gestione sono esposte a Internet
- Applica gli aggiornamenti più recenti del firmware e della sicurezza da F5
- Segmentare il traffico di rete in modo che la gestione degli accessori non si trovi sulle stesse corsie di fiducia delle risorse aziendali
- Monitorare il traffico in uscita anomalo che assomiglia ai modelli di caricamento del browser o ai tunnel WebSocket
Anche se una rete non è ancora infetta, il modello di minaccia esistente deve cambiare per trattare le appliance di gestione come asset ad alta priorità.
F5 afferma di non avere prove che le falle rubate siano state finora sfruttate in natura, ma avverte che la capacità esiste e deve essere trattata come una minaccia imminente. Le organizzazioni non dovrebbero dare per scontato che “ancora” significhi “mai”.
Le future campagne di attacco potrebbero implementare le vulnerabilità più vecchie in modo più aggressivo, sfruttare il codice sorgente rubato per nuovi exploit o avviare attacchi alla supply chain che si incanalano attraverso gli ecosistemi degli elettrodomestici. Per ora, gli osservatori devono presumere che gli aggressori abbiano già una visione approfondita e stiano pianificando il passo successivo.