أكد خبراء أمن سيبراني أن الهجوم السيبراني الذي استهدف أنظمة شركة F5، وأدى إلى سرقة شيفرة مصدرية و44 ثغرة أمنية غير معلنة، لا يثير قلقاً فورياً كبيراً بشأن استغلال تلك الثغرات على نطاق واسع. ومع ذلك، فإن سرقة هذه المعلومات الحساسة من شبكة أحد الموردين التقنيين الرئيسيين قد تحمل عواقب أوسع على المدى الطويل.
كانت F5 قد أعلنت عن اكتشاف الهجوم في 9 أغسطس، وكشف عنه رسمياً في 15 أكتوبر، مشيرة إلى أن جهة سيبرانية متطورة ذات دوافع قومية استطاعت سرقة أجزاء من شيفرة المصدر لأنظمة BIG-IP وتفاصيل نحو 44 ثغرة كانت الشركة تعمل على معالجتها داخلياً.
تؤكد F5 أنها لا تملك أي معلومات عن استغلال فعلي لأي من هذه الثغرات المسروقة، ولا توجد دلائل على وجود ثغرات غير معلنة أو قابلة للاستغلال عن بعد.
مخاوف متباينة بشأن سرقة بيانات F5
من جانبهم، عبر باحثون مثل كايتلين كوندون، نائب رئيس الأبحاث في VulnCheck، عن عدم قلقها الشديد بشأن هذه الثغرات، قائلة: “قد نشهد استغلالاً لبعض الثغرات المتوسطة، مثلاً ضمن سلسلة معقدة أو من قبل مهاجم يمتلك بيانات اعتماد أو وصولاً بطرق أخرى. لكنني لست قلقة للغاية بشأن الاستغلال الجماعي لأي منها، خاصة عن بعد”.
تتفق معها هيماجا موثيرام، باحثة أمنية في Censys، مضيفة أن الثغرات غير المعلنة التي تم الوصول إليها ليست حرجة وتتطلب استجابة طارئة فورية.
وبحسب الخبراء، فإن معظم عيوب F5، خاصة تلك المصنفة عالية الخطورة، تتعلق بحجب الخدمة (Denial-of-Service). والأهم من ذلك، أن الغالبية العظمى من الثغرات تؤثر على بروتوكولات، والتي يصعب استهدافها دون الوصول إلى الأنظمة الداخلية.
تحديد الثغرات الأكثر تأثيراً
حدد محللون في Flashpoint أربع ثغرات بتقييمات CVSS تصل إلى 8.5 كنقاط قد تكون الأكثر تأثيراً، منها CVE-2025-59483, CVE-2025-61958, CVE-2025-59481, و CVE-2025-59868. وتتطلب جميع هذه الثغرات المصادقة، مما يعني أن المهاجم يحتاج إلى وجود مسبق للتمكن من استغلالها.
هذا ويشير الباحثون إلى أن تقييمات المخاطر الخارجية ستستفيد من معلومات إضافية، مثل تفاصيل حول شفرات الإثبات المفاهيمي (proof-of-concept) أو طرق التخفي المحتملة، خاصة إذا تم سرقة هذه المعلومات أيضاً من أنظمة F5.
في المقابل، توفر F5 لعملائها مؤشرات اختراق ودليلاً شاملاً للبحث عن التهديدات بالتعاون مع CrowdStrike، يمكن الحصول عليه عند الطلب.
بعد ما يقرب من شهر من الإعلان عن الهجوم، تبدو التداعيات تحت السيطرة، إلا أن المخاوف تظل قائمة، خاصة نظراً للدور المحوري الذي تلعبه F5 عبر مختلف القطاعات والمؤسسات الحكومية.
وتعد أنظمة F5 حيوية للأعمال، وغالباً ما تكون هدفاً للمهاجمين. ورغم عدم تعرض الشركة لثغرة أمنية حرجة واسعة النطاق منذ فترة، إلا أنها تحرص على متابعة الثغرات لديها وبرامج الإفصاح والاستجابة الخاصة بها قوية.
سرقة شيفرة المصدر: مخاطر طويلة الأجل
قد لا يشعر العملاء والمدافعون بقلق كبير بشأن الثغرات غير المعلنة التي وقعت في أيدي المهاجمين، لكن سرقة شيفرة المصدر لأنظمة BIG-IP قد تخلق مشاكل أكثر خطورة.
تكمن خطورة سرقة شيفرة المصدر في إمكانية قيام المهاجمين بالبحث فيها لتحديد أو تطوير ثغرات يوم الصفر (zero-day exploits)، حسب موثيرام.
وتضيف موثيرام: “هذا الجانب من الاختراق يمثل مخاطرة أكبر على سلسلة التوريد على المدى الطويل، وقد لا ندرك عواقبه إلا لاحقاً. سيكون تأمين الأصول الأكثر وضوحاً للعامة أمراً مهماً.”
وصفت السلطات التأثير المحتمل للهجوم بأنه جزء من حملة أوسع تستهدف عناصر رئيسية في سلاسل توريد التكنولوجيا. حيث تمتد الهجمات السيبرانية لتطال وكالات فيدرالية، ومزودي البنية التحتية الحيوية، والمسؤولين الحكوميين، حسبما ذكر نيك أندرسن، المساعد التنفيذي لمدير الأمن السيبراني في وكالة الأمن السيبراني وأمن البنية التحتية.
يسعى المهاجمون ذوو الدوافع القومية بشكل أساسي للحصول على وصول دائم داخل شبكة الضحية المستهدفة، بهدف السيطرة على تلك الأنظمة، أو شن هجوم مستقبلي، أو جمع معلومات حساسة.
يمكن لمجموعات التهديد استغلال شيفرة المصدر بعدة طرق، لكن على المستوى العام، تساعدهم على فهم كيفية بناء برنامج معين وكيفية عمله.
وتعتقد كوندون أن الهجوم لم يكن “ضربة سريعة”. وتقول: “لا أعتقد أننا نعرف بالضرورة دوافعهم، لكن بالتأكيد وجود شيفرة المصدر سيساعدهم على تطوير هجمات أفضل.”
تواصل F5 العمل مع NCC Group و IOActive للتحقيق في أي إساءة استخدام محتملة لشيفرة المصدر المسروقة، لكنها تؤكد أنها لم تجد أي مؤشرات خطيرة حتى الآن.
وفي منشور على مدونة، صرح كريستوفر بورغر، كبير مسؤولي أمن المعلومات في F5: “ليس لدينا أي دليل على تعديل سلسلة توريد البرامج لدينا، بما في ذلك شيفرة المصدر وخطوط أنابيب البناء والإصدار لدينا.”
إن الهجمات المستمرة والمتجذرة على أنظمة الموردين هي استراتيجية طويلة المدى، غالباً ما تستمر عواقبها لسنوات، مما يجعل من الصعب معرفة ما الذي يجب أن يقلق العملاء بشأنه، ويتطلب تخيلاً كاملاً لاستيعاب التداعيات.
وتختتم موثيرام بالقول: “في هذه المرحلة، لا نعرف كيف سينتهي اختراق F5 أو كيف سيقارن بالحوادث السابقة. لا يعد من باب الشك المفرط توقع أن يتم استغلال الشيفرة المسروقة في نوع من الاستغلال الاستراتيجي الذي يجب علينا مراقبته استباقياً”.