结论先说：这不是一场普通厂商被黑。F5 做的是负载均衡/网关/WAF/SSL 终止等“网络边界的地基”，一旦其源代码与漏洞情报被长期窃取，就会放大对政企骨干网络的系统性风险。美国网络安全与基础设施安全局（CISA）已下发紧急指令，要求联邦机构逐台盘点并处置 F5 设备。
TechRadar


一、发生了什么（按时间线梳理）

初次发现：F5 称 2025-08-09 发现未经授权访问，确认为“高度复杂的国家级”对手，且对手对其内部环境保持了长期、持续访问。官方编号 K000154696。
my.f5.com

对外披露：2025-10-15，F5 公告事件，表示攻击者下载了文件，其中包括 BIG-IP 等产品的部分源代码与与漏洞相关的技术资料；同时强调未发现供应链构建（build pipeline）被篡改或产品发布包被植入。
my.f5.com


监管介入：披露当周，CISA 发布紧急指令，要求联邦部门盘点、打补丁或替换受影响 F5 设备，理由是“被窃数据可能加速未知漏洞被武器化，对联邦网络构成迫在眉睫的威胁”。
TechRadar


归因与持续报道：多家媒体引述消息源称与中国相关的国家级组织有关；F5 方面称运营未受影响，但安全社区提示需关注潜在“外溢”。
Reuters


风险外溢范围：路透称，F5 为超过 80% 的《财富》500 强和美国联邦网络提供关键后端基础设施，此次入侵引发业界广域排查与类 SolarWinds 级别的联想。
Reuters

二、为什么会“外溢”？——三条技术原因

关键“边界设备”的知识泄露
被盗的不仅是代码片段，更包括漏洞与安全工程知识。这会加速 0-day/1-day 挖掘与绕过姿势（如认证链路、会话管理、配置解析、模块间 RPC 等），让对手在未知面上“走捷径”。
Unit 42


“共享依赖 → 共振失败”
许多政企把身份、会话、策略发布、API 网关等能力建立在 F5 BIG-IP/F5OS 之上；一旦对手凭借新增情报制作快速利用链，认证层/发布层成为放大器，导致看似无关的上层系统一起“掉线/降级”。（CISA 在指令中明确点名联邦网络面临紧迫风险。）
TechRadar

“未修改供应链 ≠ 没有后门风险”
F5 与独立顾问均表示没有证据显示构建产物被篡改；但源代码 + 漏洞知识足以离线造弹，再去打已部署存量。因此设备面与软件面都要做纵深加固。
my.f5.com


三、和以往大事件相比，这次“难点”在哪？

攻击驻留时间长：官方与业界评估均提及“长期、持续访问”，意味着对手有时间摸清工程与运维习惯，持久化更隐蔽。
my.f5.com


情报价值高：相比单纯“窃数据”，源代码 + 漏洞知识对漏洞开发与规避检测的价值更大。CISA 的“紧急指令”级别也印证了这一点。
TechRadar

受众面广：F5 的装机群体覆盖金融、能源、政府、互联网大流量场景——这使得事件呈现跨行业外溢特征。
Reuters

四、24–72 小时“应急处置清单”（可直接执行）

目标：降低被动风险、缩短暴露窗。如用不到 F5 设备，也建议转给 IT/网络安全同事。

资产普查与基线固化

列出在网 BIG-IP（TMOS/F5OS）、rSeries、iSeries、BIG-IP Next 等版本与模块清单，区分管理平面/数据平面暴露面；生成“可外网访问清单”。
TechRadar

版本与补丁

按 F5 与 CISA 指南优先更新受影响平台到指定安全版本；不受支持版本评估替换/退网。
cisa.gov

凭据与密钥轮换

立即轮换 本地/LDAP/Radius/TACACS 管理账户、API Token、iControl REST 证书；审计自动化脚本中的硬编码凭据。

面向互联暴露的“降权 + 收口”

禁止 TMUI/SSH/REST 直曝公网；通过 跳板/专线/VPN/mTLS 访问；为 iRules/AS3/Declarative API 启用最小权限。

威胁狩猎与日志回溯（≥12 个月）

关注 异常管理登录、配置变更、iCall/iRules 可疑新增、核心转储/故障触发滥用、未知进程；对K8s/云上的 F5 控制器一并排查。

供应链与下游沟通

把设备清单 + 处置进展同步给业务与合规；对关键伙伴询证其 F5 暴露面与整改节奏（避免“你修好了，上游还在暴露”）。

注：F5 官方事件页 K000154696 与多家安全厂商（Rapid7、Unit 42、Tenable 等）均给出了已知影响与建议动作，可作为操作指南交叉核对。
Tenable®

my.f5.com

Rapid7

五、90 天内的“韧性升级”路线（防再发）

零信任边界化：管理面仅内网 + mTLS + 强 MFA，并启用命令级审计；对 API（iControl/AS3）启用细粒度 RBAC 与请求频控。

SBOM 与供应商 PSIRT 能力纳管：把F5 SBOM/PSIRT 响应时效纳入采购与年审；重要更新走签名校验/灰度更新。

分段与最小信任半径：把 F5 设备置于独立管理域/网段，与身份服务/监控/堡垒机仅通过最小白名单互通。

可观测性左移：统一 OpenTelemetry 与网络遥测，对管理/数据平面打通 Trace-Metrics-Logs；对异常重试/异常突发做自动熔断/限流。

攻防演练常态化：季度进行设备被动破坏/配置篡改演练，验证RTO、证书/密钥轮换与回切脚本可用。

六、与“新技术”的相关性（怎么把危机变为升级）

基于策略的自动化（IaC + PaC）：把 AS3/DO（Declarative Onboarding）等纳入 GitOps，配 Policy-as-Code 审核，防止配置漂移与脚本滥权。

边缘 AI 异常检测：在SSL 指标、L7 延迟、重置率等信号上做无监督异常检测，发现“慢渗透 + 小幅度漂移”的长尾迹象。

多云流量治理：与 GSLB/Anycast/多活架构联动（参考 Route 53 ARC 等），降低对单一边界设备/区域的集中度风险。
TechRadar

风险与边界（理性看待）

尚待官方更完整 RCA：目前公开材料强调未见供应链篡改，但源代码与漏洞资料外泄已足以构成中高强度风险；后续以 F5 K000154696 与 CISA 更新为准持续校正。
my.f5.com


媒体归因仍在推进：关于具体攻击方与更多受害者，媒体与安全公司仍在跟进，未到“盖棺”时刻。
Reuters

关键来源（权威/官方/技术社群）

F5 官方事件页 K000154696（时间线、受影响资产、声明“未发现供应链篡改”）。
my.f5.com

CISA 紧急指令与多家权威媒体对“迫在眉睫风险”的描述与处置要求。
cisa.gov


路透深度/快讯（长期渗透、外溢风险、归因线索、对客户通报）。
Reuters


Rapid7 / Unit 42 / Tenable 技术建议（已知影响、FAQ、处置动作）。
Rapid7

Unit 42

推荐阅读：

全球导管制造基地迁移 + 自动化升级：Sterling 五年项目拆解

产业安全深度｜F5 遭“长期渗透”披露：到底发生了什么、为何会外溢、该怎么改

科技资讯｜“新一代超高速实时示波器”来了：从带宽到算法的全面进化

MOF 材料科普｜一文看懂金属有机框架（Metal–Organic Frameworks）

OMRON 在印度班加罗尔启用「Automation Center」：全球第10个ATC，面向南印制造的共创与验证基地

重大工程与空间探索：基础设施与航天同步推进