F5公司在2025年8月遭受了高度複雜的國家級網絡攻擊，攻擊者長期滲透其BIG-IP產品開發和工程知識管理平台，竊取源代碼及未公開漏洞資訊。美國CISA（網絡安全與基礎設施安全局）於10月15日發佈緊急指令（ED 26-01），要求所有聯邦機構在10月22日之前通報並修補所有F5 BIG-IP相關設備，並於10月29日前提交全面盤點及修補報告。該漏洞允許攻擊者竊取憑證、橫向移動，並可能完全掌控受害系統，對政府及企業造成重大風險。CISA強烈呼籲所有使用F5產品的公私部門立即採取補救措施。F5已公開發佈季度安全通報並給出相關修補補丁。

主要要點:

國家級黑客長期滲透F5 BIG-IP開發環境並竊取源代碼、補丁資訊及少量客戶實施配置資料。

CISA下令所有涉及 F5設備的聯邦機構必須於10月22日前完成修補 ，10月29日前提交相關報告。

攻擊可能導致憑證外洩、API金鑰失控、被用於針對產品的新型漏洞開發和利用。

建議全球所有使用F5設備（特別是BIG-IP產品）的組織應立刻依季度安全通報要求實行修補並加強安全防護。 Quarterly Security Notification (October 2025) https://lnkd.in/grnQjM9m

行動:

立即盤點本機構所有F5 BIG-IP系列設備，包括虛擬機與實體設備。檢查管理介面是否可從互聯網訪問，避免暴露於外部。

盡速安裝F5公司於2025年10月15日發布之季度安全修補（Quarterly Security Notification），修補所有已知漏洞。

清理及下架所有不再受支持或已到生命週期終點的F5裝置。加強管理介面及API金鑰保護措施，包括密碼輪換和存取管制。

留意F5公告，直接聯繫F5或安全顧問獲得最新受影響客戶名單及後續通知。

Reference:

https://www.cisa.gov/news-events/news/cisa-issues-emergency-directive-address-critical-vulnerabilities-f5-devices

後記：所謂的“意外” 其實早在無數妥協的瞬間就已經被注定. 被黑客入侵從不是一瞬間的災難, 而是每一個被忽視的警告. 每一份被篡改的記錄, 每一次問題不大的僥倖心理, 一點點堆疊而成的必然崩塌. 希望這場的代價, 喚醒的不只是制度和系統的修補, 更是人心中對責任與底線的敬畏.

馮家昌先生（Billy Fung)

副會長

資訊安全顧問委員會主任

2025年10月16日