Lebih dari 266.000 Perangkat F5 BIG-IP Terpapar Risiko Serangan Jarak Jauh
Lembaga keamanan internet nirlaba Shadowserver Foundation melaporkan bahwa lebih dari 266.000 perangkat F5 BIG-IP saat ini terhubung ke internet dan berpotensi dieksploitasi setelah kebocoran keamanan besar yang diumumkan oleh perusahaan F5 pekan ini.
F5, perusahaan teknologi yang dikenal dengan solusi keamanan dan application delivery networking (ADN), mengungkap bahwa aktor negara telah menembus jaringan internal mereka, mencuri kode sumber dan informasi terkait kerentanan BIG-IP yang belum dipublikasikan. Meski begitu, perusahaan menyatakan belum menemukan bukti bahwa celah-celah tersebut telah dimanfaatkan dalam serangan aktif.
Kebocoran Data dan Peretasan F5
Dalam pernyataan resminya pada Rabu lalu, F5 juga merilis tambalan keamanan untuk 44 kerentanan, termasuk beberapa yang dicuri oleh peretas dalam insiden tersebut. Perusahaan menekankan pentingnya memperbarui perangkat segera agar tidak menjadi sasaran serangan lanjutan.
“Pembaruan untuk BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ, dan APM clients kini tersedia. Walau kami tidak mengetahui adanya kerentanan kritis atau eksploitasi jarak jauh yang belum diungkap, kami sangat menyarankan pengguna untuk segera memperbarui perangkat lunaknya,” tulis F5.
Menurut laporan Bloomberg, F5 dalam pemberitahuan tertutup kepada pelanggan telah mengaitkan serangan ini dengan aktor peretasan asal Tiongkok, yang diyakini berhubungan dengan kelompok UNC5291.
Kelompok tersebut sebelumnya dikenal menggunakan malware kustom seperti Zipline dan Spawnant, serta mengeksploitasi celah zero-day pada produk Ivanti untuk menyerang lembaga pemerintahan. Dalam kasus F5, peretas disebut telah aktif di jaringan internal perusahaan selama lebih dari satu tahun.
F5 juga membagikan panduan perburuan ancaman (threat-hunting guide) yang menyebut malware berbasis Go bernama Brickstorm, pertama kali diidentifikasi oleh Google pada April 2024 saat menyelidiki aktivitas kelompok tersebut.
Ratusan Ribu Perangkat Terpapar
Shadowserver kini melacak 266.978 alamat IP yang mengindikasikan jejak perangkat F5 BIG-IP. Dari jumlah itu, lebih dari 142.000 berada di Amerika Serikat, sementara sekitar 100.000 lainnya tersebar di Eropa dan Asia.
Meski demikian, belum ada data pasti berapa banyak perangkat yang telah diperbarui dan aman dari potensi eksploitasi kerentanan yang diungkap minggu ini.
Langkah Darurat dari CISA
Menanggapi insiden ini, CISA (Cybersecurity and Infrastructure Security Agency) Amerika Serikat mengeluarkan direktif darurat yang mewajibkan lembaga-lembaga federal untuk:
- Memasang pembaruan keamanan terbaru F5 sebelum 22 Oktober 2025 untuk F5OS, BIG-IP TMOS, BIG-IQ, dan BNK/CNF.
- Menyelesaikan pembaruan untuk perangkat F5 lainnya paling lambat 31 Oktober 2025.
- Menonaktifkan dan mencabut perangkat F5 yang sudah mencapai akhir dukungan karena tidak akan lagi menerima tambalan keamanan.
CISA juga meminta setiap lembaga untuk memeriksa apakah antarmuka manajemen jaringan F5 dapat diakses dari internet dan segera mengamankannya.
Target Utama Aktor Ancaman
Selama beberapa tahun terakhir, perangkat F5 BIG-IP menjadi target populer bagi kelompok peretas negara maupun pelaku kejahatan siber. Eksploitasi pada perangkat ini memungkinkan mereka memetakan server internal, mencuri kredensial dan kunci API, mengakses jaringan korporat, hingga menanam malware perusak data.
Sebagai perusahaan Fortune 500, F5 memiliki lebih dari 23.000 pelanggan di seluruh dunia, termasuk 48 dari 50 perusahaan Fortune 50. Kondisi ini membuat setiap kerentanan pada produk F5 berpotensi berdampak besar terhadap keamanan infrastruktur digital global.
Sumber: BleepingComputer
