Hàng nghìn khách hàng gặp nguy hiểm sau khi hacker nhà nước càn quét mạng của F5

Tác giả tanthanh 06/02/2026 8 phút đọc

Chính phủ liên bang cảnh báo hôm thứ Tư rằng hàng nghìn mạng, nhiều mạng trong số đó do chính phủ Hoa Kỳ và các công ty Fortune 500 điều hành, phải đối mặt với mối đe dọa — sắp xảy ra về việc bị một nhóm hack quốc gia-nhà nước vi phạm sau vụ vi phạm của một nhà sản xuất phần mềm lớn.

F5, nhà sản xuất phần mềm mạng có trụ sở tại Seattle, tiết lộ vi phạm vào thứ tư. F5 cho biết một nhóm đe dọa “tinh vi” làm việc cho một chính phủ quốc gia-nhà nước không được tiết lộ đã lén lút và kiên trì cư trú trong mạng lưới của mình qua một “long-term.” Các nhà nghiên cứu bảo mật đã phản ứng với các cuộc xâm nhập tương tự trong quá khứ đã sử dụng ngôn ngữ này có nghĩa là các tin tặc đã ở bên trong mạng F5 trong nhiều năm.

Chưa từng có

Trong thời gian đó, F5 cho biết, các hacker đã nắm quyền kiểm soát phân khúc mạng mà công ty sử dụng để tạo và phân phối các bản cập nhật cho BIG IP, một dòng thiết bị máy chủ mà F5 nói được sử dụng bởi 48 trong số 50 tập đoàn hàng đầu thế giới. Tiết lộ hôm thứ Tư tiếp tục cho biết nhóm đe dọa đã tải xuống thông tin mã nguồn BIG-IP độc quyền về các lỗ hổng đã được phát hiện riêng tư nhưng chưa được vá. Các tin tặc cũng có được cài đặt cấu hình mà một số khách hàng đã sử dụng bên trong mạng của họ.

Việc kiểm soát hệ thống xây dựng và quyền truy cập vào mã nguồn, cấu hình khách hàng và tài liệu về các lỗ hổng chưa được vá có khả năng cung cấp cho tin tặc kiến thức chưa từng có về điểm yếu và khả năng khai thác chúng trong các cuộc tấn công chuỗi cung ứng vào hàng nghìn mạng, nhiều trong số đó nhạy cảm. Việc đánh cắp cấu hình của khách hàng và các dữ liệu khác càng làm tăng nguy cơ thông tin xác thực nhạy cảm có thể bị lạm dụng, F5 và các chuyên gia bảo mật bên ngoài cho biết.

Khách hàng đặt BIG-IP ở rìa mạng của họ để sử dụng làm bộ cân bằng tải và tường lửa cũng như để kiểm tra và mã hóa dữ liệu truyền vào và ra khỏi mạng. Với vị trí mạng của BIG-IP và vai trò của nó trong việc quản lý lưu lượng truy cập cho các máy chủ web, những thỏa hiệp trước đây đã cho phép đối thủ mở rộng quyền truy cập của họ vào các phần khác của mạng bị nhiễm.

F5 cho biết các cuộc điều tra của hai công ty phản ứng xâm nhập bên ngoài vẫn chưa tìm thấy bất kỳ bằng chứng nào về các cuộc tấn công chuỗi cung ứng. Công ty đã đính kèm thư từ các công ty IOActive và NCC Group chứng thực rằng các phân tích về mã nguồn và quy trình xây dựng không phát hiện ra dấu hiệu nào cho thấy tác nhân đe dọa “đã sửa đổi hoặc đưa bất kỳ lỗ hổng nào vào các mục trong phạm vi.” Các công ty cũng cho biết họ đã không xác định bất kỳ bằng chứng nào về các lỗ hổng nghiêm trọng trong hệ thống. Các nhà điều tra, bao gồm cả Mandiant và CrowdStrike, không tìm thấy bằng chứng nào cho thấy dữ liệu từ hệ thống CRM, tài chính, quản lý trường hợp hỗ trợ hoặc hệ thống y tế của họ đã được truy cập.

Công ty đã phát hành các bản cập nhật cho các sản phẩm BIG-IP, F5OS, BIG-IQ và APM. Chỉ định CVE và các chi tiết khác là đây". Hai ngày trước, F5 xoay Chứng chỉ ký BIG-IP, mặc dù không có xác nhận ngay lập tức rằng động thái này là để ứng phó với hành vi vi phạm.

Cơ quan An ninh mạng và Cơ sở hạ tầng của Mỹ đã cảnh báo rằng các cơ quan liên bang dựa vào thiết bị phải đối mặt với “mối đe dọa sắp xảy ra” từ các vụ trộm, điều này “gây ra rủi ro không thể chấp nhận được.” Cơ quan này tiếp tục chỉ đạo các cơ quan liên bang dưới sự kiểm soát của mình thực hiện “hành động khẩn cấp.” Trung tâm An ninh mạng Quốc gia Vương quốc Anh ban hành một chỉ thị tương tự.

CISA đã ra lệnh cho tất cả các cơ quan liên bang mà họ giám sát phải ngay lập tức kiểm kê tất cả các thiết bị BIG-IP trong các mạng mà họ chạy hoặc trong các mạng mà các nhà cung cấp bên ngoài thay mặt họ chạy. Cơ quan này tiếp tục chỉ đạo các cơ quan cài đặt các bản cập nhật và tuân theo hướng dẫn săn lùng mối đe dọa mà F5 cũng đã ban hành. Người dùng BIG-IP trong khu vực tư nhân cũng nên làm như vậy.