F5 BIG-IP Quellcode-Diebstahl + CISA ED 26-01

ALARM für alle F5-Admins! F5 Networks hat bestätigt: Ein staatlicher Akteur ist in interne Systeme eingedrungen und hat Teile des BIG-IP-Quellcodes plus Vulnerability-Daten exfiltriert. CISA stempelt eine Emergency Directive 26-01 drauf — heißt: Bundes-Behörden müssen JETZT reagieren. Und der private Sektor sollte das genauso ernst nehmen.

Wir zeigen dir, was wirklich passiert ist, wer betroffen ist und was DU heute tun solltest, wenn ein BIG-IP irgendwo in deinem Stack lebt.

UNGLAUBLICH: Quellcode UND Lücken-Info weg

Der Diebstahl umfasst laut F5 und CISA:

Auszüge aus dem BIG-IP-Source-Code
Interne Vulnerability-Tracking-Daten (Schwachstellen, die noch nicht öffentlich sind)
Möglicherweise eingebettete Credentials und API-Keys

Das ist deutlich gefährlicher als ein einzelnes CVE: Der Akteur hat Insider-Wissen über Bugs, die F5 selbst noch nicht gepatcht hat. Heißt: Zero-Days mit Roadmap.

SCHOCK: Wer ist betroffen?

CISA listet eindeutig:

BIG-IP (F5OS), BIG-IP TMOS, BIG-IP Virtual Edition
BIG-IP Next, BIG-IQ
BIG-IP Next for Kubernetes (BNK) und Cloud-Native Network Functions (CNF)
iSeries, rSeries und alle Hardware-Geräte, die End-of-Support sind

Wenn dein Loadbalancer, dein Web-Application-Firewall oder dein API-Gateway eine F5-Box ist: Du gehörst zur Zielgruppe. Telcos, Banken, Behörden, große Hosting-Provider sind die Hauptzielklasse.

GEFAHR! So reagierst du JETZT

Reihenfolge, klar:

Inventar: Welche F5-Boxen, welche Software-Versionen, welche externe Erreichbarkeit?
Management-Interface NICHT exponieren. Mgmt-IP gehört in ein isoliertes Admin-VLAN.
Patches priorisieren: F5 schiebt aktuell ungewöhnlich schnell Updates — alle relevanten K-Artikel checken.
Credentials rotieren: Admin-Accounts, Maintenance-Accounts, eingebettete API-Keys.
Logs sichern: Mgmt-Plane-Logs und Auth-Logs in dein SIEM. Suche nach untypischen Logins.
BIG-IP-EOS-Hardware: Wenn du noch iSeries oder rSeries fährst — Migrations-Pfad jetzt einleiten.

EXTRA-TIPP: WAF-Regeln nicht vergessen

Viele F5-Boxen schützen Anwendungs-Stacks dahinter. Wenn die WAF-Regeln selbst gefährdet sind, fließt Angriffs-Verkehr durch. Stell sicher, dass dein Backend zusätzliche Authentifizierung hat — Defense-in-Depth. Plus: BIG-IP-Mgmt-Zugriff nur über VPN / Bastion, niemals offen ins Internet.

FAZIT: Großer Vorfall mit kalter Lage

Der F5-Breach ist kein Hype. Quellcode und Vuln-Daten in feindlichen Händen heißt: Patches müssen schnell, Inventar muss sauber, Mgmt-Plane muss zu sein. Wer im Frühjahr 2026 einen F5-Stack betreibt, hat diese Woche eine klare To-Do-Liste. Stichwort CISA ED 26-01.

Häufige Fragen

Welche F5-Produkte sind betroffen?

CISA listet BIG-IP (F5OS und TMOS), Virtual Edition, BIG-IP Next, BIG-IQ, BNK und CNF. Hardware-Boxen vor iSeries/rSeries sowie End-of-Support-Geräte gelten als besonders gefährdet.

Wie merke ich, ob meine Box verwundbar ist?

F5 veröffentlicht laufend K-Artikel mit Patch-Listen — dort sind betroffene Versionen genannt. Inventar erstellen, gegen die F5-Tabellen abgleichen, dann priorisiert patchen.

Wie behebe ich das Problem konkret?

Patches einspielen (priorisiert für extern erreichbare Boxen), Management-Plane in ein isoliertes VLAN nehmen, Admin- und Maintenance-Credentials rotieren, Auth-Logs prüfen.

Gab es schon aktive Angriffe?

Die CISA Emergency Directive 26-01 zwingt Bundes-Behörden zur sofortigen Mitigation — das passiert nur, wenn aktive Bedrohung oder erhöhtes Risiko vorliegt. Verhalten: wie bei aktivem Angriff agieren.

F5-SCHOCK! Hacker klauen JETZT BIG-IP-Source — CISA stempelt Notfall ED 26-01 drauf!