Peretasan F5: Peretas Negara Curi Kode Sumber dan Celah BIG-IP yang Belum Dipublikasikan
Perusahaan keamanan siber asal AS, F5, mengonfirmasi bahwa mereka menjadi korban serangan siber oleh aktor negara (nation-state hackers) yang berhasil mencuri kode sumber dan data kerentanan (vulnerability data) dari produk andalan mereka, BIG-IP.
Investigasi internal menemukan bahwa peretas telah menyusup cukup lama ke dalam sistem internal F5, termasuk lingkungan pengembangan produk BIG-IP dan platform manajemen pengetahuan rekayasa perusahaan.
Kronologi dan Ruang Lingkup Insiden
F5 pertama kali mendeteksi pelanggaran ini pada 9 Agustus 2025.
Dalam pernyataannya, perusahaan menyebut bahwa peretas berhasil mengekstraksi file berisi:
- Potongan kode sumber BIG-IP,
- Informasi mengenai celah keamanan yang belum dipublikasikan,
- Dan sebagian konfigurasi pelanggan tertentu.
“Melalui akses ini, sejumlah file telah dieksfiltrasi, termasuk bagian dari kode sumber BIG-IP dan informasi terkait kerentanan yang sedang kami tangani,” ujar F5 dalam laporan resminya.
Meski kebocoran ini melibatkan data yang sangat sensitif, F5 menegaskan belum ada bukti bahwa celah yang dicuri telah digunakan dalam serangan aktif atau disebarluaskan ke publik.
Tidak Ada Risiko Rantai Pasokan
F5 memastikan bahwa insiden ini tidak berdampak pada rantai pasokan perangkat lunak (supply-chain) dan tidak ada kode berbahaya yang disisipkan ke dalam produk.
Sistem internal penting seperti:
- CRM,
- sistem keuangan,
- dukungan pelanggan (support case management), dan
- iHealth platform,
semuanya tidak terpengaruh.
Produk lain seperti NGINX, F5 Distributed Cloud Services, dan Silverline juga dipastikan aman.
Langkah Mitigasi dan Penilaian Independen
Setelah pelanggaran ditemukan, F5 melakukan langkah pemulihan menyeluruh, antara lain:
- Rotasi kredensial dan penguatan kontrol akses.
- Peningkatan otomasi patch management dan sistem pemantauan ancaman.
- Perbaikan arsitektur keamanan jaringan.
- Penguatan keamanan lingkungan pengembangan software dengan pengawasan ketat di semua pipeline.
Selain itu, F5 juga melibatkan NCC Group dan IOActive untuk melakukan audit keamanan independen.
- NCC Group meninjau komponen perangkat lunak kritis dalam BIG-IP dan sebagian pipeline pengembangan, melibatkan 76 konsultan keamanan.
- IOActive, yang dipanggil pasca-insiden, masih melanjutkan investigasi dan sejauh ini tidak menemukan indikasi manipulasi kode sumber atau build pipeline oleh pelaku.
Dampak bagi Pelanggan dan Pembaruan Produk
F5 kini tengah menghubungi pelanggan yang terdampak oleh pencurian konfigurasi dan memberikan panduan penanganan.
Sebagai langkah antisipatif, perusahaan telah merilis pembaruan keamanan untuk:
- BIG-IP,
- F5OS,
- BIG-IP Next for Kubernetes,
- BIG-IQ, dan
- APM clients.
F5 meminta seluruh pelanggan untuk segera menginstal pembaruan terbaru, meskipun belum ada bukti eksploitasi aktif.
Pembaruan tersebut dirancang untuk menutup potensi risiko dari kerentanan yang dicuri.
Perusahaan juga merilis panduan threat hunting dan praktik terbaik baru untuk memperkuat sistem F5, termasuk:
- Integrasi iHealth Diagnostic Tool untuk mendeteksi risiko keamanan secara otomatis.
- Pengaktifan event streaming BIG-IP ke sistem SIEM.
- Pengaturan logging ke server syslog eksternal serta pemantauan percobaan login mencurigakan.
Tindakan Tambahan dan Koordinasi dengan Pemerintah
F5 mengungkapkan bahwa pengumuman publik insiden ini ditunda atas permintaan pemerintah AS, agar otoritas memiliki waktu cukup untuk mengamankan sistem-sistem penting yang terdampak.
“Pada 12 September 2025, Departemen Kehakiman AS meminta penundaan pengungkapan publik sesuai Item 1.05(c) Form 8-K. Kami kini menyampaikan laporan ini secara resmi dan tepat waktu,” jelas F5.
Selain itu, NCSC (Inggris) dan CISA (AS) juga merilis rekomendasi agar organisasi:
- Mengidentifikasi seluruh perangkat dan layanan F5 aktif (fisik, virtual, maupun cloud).
- Memastikan antarmuka manajemen (management interface) tidak terekspos ke internet publik.
- Melakukan assessment kompromi jika ditemukan antarmuka yang terbuka.
F5 menegaskan bahwa tidak ada dampak material terhadap operasional perusahaan, dan seluruh layanan tetap berjalan normal.
Sumber: BleepingComputer
