Güvenlik araştırmacıları, F5 Networks’te BIG-IP cihazlarıyla ilgili ciddi bir uzlaşmayı ortaya çıkardı. UNC5221 olarak bilinen Çin bağlantılı bir tehdit grubuyla bağlantılı bilgisayar korsanları, F5’in dahili sistemlerine kalıcı erişim sağladı ve son derece gelişmiş bir arka kapı kampanyası gibi görünen şeyin temelini attı. Grup, bazı sistemlerde en az bir yıl boyunca tespit edilmeden kaldı.
F5, şüpheli etkinliği ilk olarak 9 Ağustos 2025’te tespit etti ve olayı ancak ABD kolluk kuvvetlerine danıştıktan sonra 15 Ekim’de kamuoyuna açıkladı. Şirket, BIG-IP sistemleri için kaynak kodunun ve dahili yapılandırma verilerinin çalındığını itiraf etti.
Brickstorm arka kapısı ve nasıl çalışır?
Bu kampanyada kullanılan arka kapıya Brickstorm adı verildi. Araştırmacılar bunu, geleneksel güvenlik araçlarının seyrek olduğu uç cihaz ortamları için özel olarak tasarlanmış, Go’da yerleşik bağımsız bir yürütülebilir dosya olarak tanımlıyor. Normal web trafiğini taklit eden giden şifreli bağlantıları destekler, komuta ve kontrol için WebSocket’e yükseltmeleri destekler ve hatta saldırganların ağ içinde fark edilmeden hareket edebilmesi için SOCKS tarzı proxy’den yararlanır.
Kötü amaçlı yazılımların uç noktalara düşmesine dayanan birçok kötü amaçlı yazılım ailesinin aksine Brickstorm, BIG-IP gibi ağ yönetimi cihazlarını hedef alarak onları saldırganlar için gizli, uzun vadeli çıkış noktalarına dönüştürür. Günlükler ve telemetri minimum düzeydedir ve bu da algılamayı çok zorlaştırır.
Çalınan kod riskleri artırıyor
Bu ihlali özellikle endişe verici kılan şey, F5’ten özel kaynak kodunun ve dahili güvenlik açığı bilgilerinin çalınmasıdır. Bu, saldırganlara BIG-IP ve ilgili ürünlerdeki açıklanmayan kusurlara ilişkin potansiyel görünürlük sağlar. Uzmanlar, bunun sıfır gün açıklarının keşfini hızlandırabileceği ve savunmasız cihazları daha kolay silah haline getirebileceği konusunda uyarıyor.
Buna yanıt olarak, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal kurumların F5 BIG-IP cihazlarının envanterini çıkarmasını, mümkünse yönetim arayüzlerini internetten kaldırmasını ve yamaları hemen uygulamasını gerektiren Acil Durum Direktifi ED 26-01’i yayınladı.
Bu kuruluşlar için ne anlama geliyor?
F5 BIG-IP cihazlarını kullanan herhangi bir işletme için ihlal, acil eylemin sinyalini verir. Genellikle güvenilen ve daha az izlenen ağ yükü dengeleme ve trafik yönetimi sistemleri artık dahili ağlara pivot olarak silah haline getirilebilir.
Kuruluşlar şunları yapmalıdır:
- Tüm cihazların envanterini çıkarın ve yönetim konsollarının internete açık olup olmadığını kontrol edin
- F5’teki en son üretici yazılımı ve güvenlik güncellemelerini uygulayın
- Ağ trafiğini, alet yönetiminin kurumsal varlıklarla aynı güven şeritlerinde yer almaması için segmentlere ayırın
- Tarayıcı karşıya yükleme desenlerine veya WebSocket tünellerine benzeyen anormal giden trafiği izleyin
Bir ağa henüz virüs bulaşmamış olsa bile, mevcut tehdit modelinin yönetim araçlarını yüksek öncelikli varlıklar olarak ele alacak şekilde değişmesi gerekir.
F5, çalınan kusurların şu ana kadar vahşi doğada istismar edildiğine dair hiçbir kanıtı olmadığını söylüyor ancak bu yeteneğin var olduğu ve yakın bir tehdit olarak ele alınması gerektiği konusunda uyarıyor. Kuruluşlar “henüz”ün “asla” anlamına geldiğini varsaymamalıdır.
Gelecekteki saldırı kampanyaları, eski güvenlik açıklarını daha agresif bir şekilde dağıtabilir, çalınan kaynak kodunu yeni istismarlar için kullanabilir veya cihaz ekosistemleri üzerinden tedarik zinciri saldırıları başlatabilir. Şimdilik, gözlemciler, saldırganların zaten derin bir içgörüye sahip olduğunu ve bir sonraki adımı planladıklarını varsaymalıdır.