Vectra AI è stata nominata Leader nel Quadrante Magico Gartner 2025 per Network Detection and Response (NDR). >
NUOVO

Vectra AI è stata nominata Leader nel Magic Quadrant Gartner 2025 per il Network Detection and Response (NDR). Scarica il rapporto. >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
Briefing sulle minacce

La violazione di F5 potrebbe rivelare una nuova lacuna nella sicurezza dei bordi?

16 ottobre 2025
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
La violazione di F5 potrebbe rivelare una nuova lacuna nella sicurezza dei bordi?

Quando un'azienda che costruisce la tecnologia per la protezione di alcune delle reti più critiche al mondo subisce una violazione, l'intera comunità della sicurezza dovrebbe prenderne atto. Il 15 ottobre 2025, F5 Networks ha rivelato in un documento SEC 8-K di aver subito una compromissione della rete riconducibile a un sospetto attore di minacce di uno Stato nazionale.

Il rapporto ha confermato che gli aggressori hanno mantenuto un accesso persistente agli ambienti di produzione di F5 fino a un anno, rubando il codice sorgente proprietario di BIG-IP e i dati di configurazione dei clienti. Dato che i prodotti di F5 sono alla base di gran parte dell'infrastruttura di edge networking e application delivery del mondo, questa violazione non è solo un problema del fornitore, ma è un segnale di come il panorama delle minacce si sia spostato verso il perimetro stesso che collega i sistemi cloud e on-premise.

Quando il bordo diventa il punto di ingresso

L'indagine di F5 ha rilevato che gli intrusi hanno avuto un accesso occulto e a lungo termine ai sistemi utilizzati per costruire e gestire BIG-IP, F5OS e prodotti correlati. L'incidente è stato ritenuto abbastanza significativo da ritardare la divulgazione al pubblico con l'approvazione del Dipartimento di Giustizia degli Stati Uniti a causa delle potenziali implicazioni per la sicurezza nazionale.

Questo attacco non riguardava una singola vulnerabilità. Si trattava di un accesso persistente: unattore delle minacce che si inseriva silenziosamente nel tessuto di fiducia dei sistemi più privilegiati di un'organizzazione. Questo dimostra come anche le più solide tecnologie perimetrali possano diventare esse stesse superfici di attacco.

L'anatomia della compromissione di F5

Secondo l'8-K e la dichiarazione pubblica di F5:

  • L'aggressore ha ottenuto e mantenuto l'accesso a lungo termine all'ambiente di sviluppo dei prodotti BIG-IP di F5.
  • Si sono infiltrati nel codice sorgente, nella documentazione interna e in alcuni dati di configurazione dei clienti.
  • Il compromesso potrebbe essere iniziato già 12 mesi prima della rilevazione.
  • Da allora F5 ha ingaggiato CrowdStrike, Mandiant, NCC Group e IOActive per la forensics, il contenimento e la convalida dell'integrità della catena di fornitura del software.

Anche se F5 non segnala alcuno sfruttamento attivo delle vulnerabilità non rivelate, il rischio è reale. Il furto del codice sorgente, combinato con i dettagli dell'infrastruttura, fornisce agli aggressori un piano per lo sfruttamento, soprattuttoquando si prendono di mira i dispositivi edge critici utilizzati nelle aziende e negli enti governativi.

Perché l'infrastruttura edge è il nuovo campo di battaglia

Nell'era ibrida, i dispositivi di edge networking come F5 BIG-IP si trovano all'intersezione di tutto: identità, rete e traffico applicativo. Terminano le sessioni SSL, gestiscono i flussi di autenticazione e collegano gli ambienti privati ai cloud pubblici.

Questa potenza li rende anche bersagli privilegiati. Una volta che un aggressore compromette un dispositivo edge o l'infrastruttura che lo costituisce, può ottenere l'accesso a credenziali privilegiate, traffico crittografato e percorsi di movimento laterale invisibili agli strumenti endpoint .

Le ricerche di IDC e dei suoi partner documentano la persistenza di problemi di visibilità sugli edge che lasciano le organizzazioni esposte ad attività furtive post-compromissione.

Ecco come si presenta nella pratica:

Strato Strumenti comuni Punti ciechi tipici Vantaggio dell'attaccante
Endpoint EDR Nessuna visibilità sull'uso improprio della rete e dell'identità Persistenza silenziosa tramite token o credenziali di servizio
Bordo della rete Firewall, Load Balancer (F5, Palo Alto, ecc.) Zona di fiducia, analisi comportamentale limitata Esfiltrazione furtiva di dati o movimento laterale
Cloud CSPM, CWPP OAuth utilizzato in modo improprio, API non gestite Accesso senza malware

L'infrastruttura edge non è più solo un livello di sicurezza, ma una superficie di attacco in sé.

Il quadro generale: Rischio nazionale e aziendale

L'incidente di F5 sottolinea anche una verità più ampia: gli aggressori stanno prendendo di mira il tessuto connettivo dell'infrastruttura digitale. La combinazione di esfiltrazione del codice sorgente e divulgazione ritardata indica una potenziale dimensione di sicurezza nazionale, poichéle stesse tecnologie proteggono le reti federali, i sistemi di difesa e i principali fornitori di cloud .

Quando gli avversari sono in possesso di conoscenze privilegiate sul funzionamento dei sistemi edge, possono realizzare exploitzero-day o compromettere gli aggiornamenti della catena di fornitura, aggirando completamente i controlli tradizionali.

Per le aziende, questo significa che il confine della sicurezza si sta dissolvendo. Gli strumenti progettati per proteggere il traffico sono ora parte della superficie delle minacce.

Il gap di sicurezza: perché le difese tradizionali non funzionano

Questa violazione di F5 non è stata scoperta da antivirus, EDR o strumenti di patching, e questo è il punto.

  • Endpoint non vengono eseguiti su dispositivi di rete.
  • I SIEM si basano su registri che potrebbero non catturare i movimenti laterali o essere manomessi.
  • Gli strumenti di sicurezzaCloud monitorano il piano di controllo cloud , non il fabric edge fisico o virtuale.

Questo crea una lacuna di visibilità: gli aggressori operano per mesi all'interno delle zone "fidate", utilizzando credenziali, API o account di servizio validi, senza attivare alcun avviso basato sulle firme.

Il risultato? Un anno di accessi non rilevati, con gli aggressori che esfiltravano i dati e osservavano le operazioni in modo nascosto.

Come Vectra AI colma il divario nella sicurezza dei bordi

In Vectra AI aiutiamo le organizzazioni a vedere ciò che gli strumenti tradizionali non riescono a vedere. La nostra piattaforma offre un rilevamento agentless, basato sull'AI, che analizza continuamente i comportamenti negli ambienti di rete, identità e cloud , lestesse aree che gli aggressori sfruttano una volta entrati.

Per i clienti che utilizzano tecnologie edge come F5, la vera preoccupazione non è solo il modo in cui gli aggressori entrano, ma anche quello che succede dopo. Sia che un aggressore utilizzi un exploit rubato o inserisca una backdoor per passare da un sistema edge alla rete del cliente, Vectra AI rileva questa attività prima che raggiunga la fase di impatto.

Nel nostro blog Zero-Day Attacks on Network Edge Devices: Why NDR Matters, abbiamo evidenziato come gli avversari abbiano sfruttato le vulnerabilità di firewall, VPN e router di diversi fornitori, trasformando i dispositivi perimetrali affidabili in punti di appoggio furtivi all'interno delle reti aziendali.

Ecco perché Rilevamento e risposta della rete (NDR) è essenziale. Vectra AI monitora costantemente la presenza di:

  • Comportamenti di persistenza ed esfiltrazione all'interno di ambienti ibridi, anche in assenza di malware .
  • Traffico edge e del data center per identificare comunicazioni segrete o escalation di privilegi che indicano una compromissione.
  • Uso improprio dell'identità (come account di servizio o token rubati), correlato all'attività di rete per far emergere veri comportamenti di attacco, non avvisi isolati.

La PiattaformaVectra AI consente ai team di sicurezza di dare priorità alle minacce reali in modo rapido, colmando il divario di visibilità che consente alle intrusioni a lungo termine di prosperare.

Vedere, rilevare e reagire più velocemente

Per verificare se il vostro ambiente mostra segni di un comportamento simile da parte di un aggressore, controllate la ricerca assistita dall'intelligenza artificiale nella Vectra AI Platform: il modo più veloce per trasformare le domande in risposte.

Con la ricerca assistita dall'intelligenza artificiale, è possibile porre domande di indagine e di caccia in un linguaggio semplice e ottenere risposte immediate e ricche di contesto grazie ai metadati potenziati dall'intelligenza artificiale provenienti dalla rete, dall'identità e dal cloud. La funzione non si limita a mostrare i risultati, ma fornisce le fasi successive consigliate, in modo che possiate seguire le tracce come un analista esperto.

Provate a chiedere:

  • "Mostrami tutti i sistemi che comunicano con IP esterni su porte non comuni".
  • "Elenco degli account che accedono alle console dell'infrastruttura di rete al di fuori dell'orario di lavoro".

Che si tratti di ricercare la persistenza, di convalidare l'esposizione alle vulnerabilità o di assicurarsi che i dispositivi edge non siano stati utilizzati in modo improprio, la ricerca assistita dall'intelligenza artificiale vi dà chiarezza alla velocità di una domanda - aiutandovi a vedere la storia completa dietro ogni minaccia.

Scoprite la ricerca assistita dall'intelligenza artificiale nella Vectra AI Platform e sperimentate come un'indagine rapida e guidata possa aiutarvi a individuare ciò che gli strumenti tradizionali non riescono a individuare. Guardate la demo autoguidata.

DOMANDE FREQUENTI