F5 がリリースした 44件の脆弱性に対する緊急パッチ:盗まれたソースコードへの懸念を払拭

F5 Released Security Updates Covering Multiple Products Following Recent Hack

2025/10/17 CyberSecurityNews — F5 Networks が公表したのは、国家レベルの脅威アクターによる深刻なセキュリティ侵害と、コア製品の重要なアップデートのリリースである。2025年8月に検知されたインシデントの分析の結果として判明したのは、同社の社内システムが長期間にわたり不正アクセスされ、BIG-IP のソースコードと未公開の脆弱性データが窃取されたことだった。それを受けた F5 は、高まるリスクの中で顧客を保護するために、BIG-IP/F5OS/BIG-IQ/APM クライアントおよび、Kubernetes 向け BIG-IP Next にパッチを展開した。

F5 の BIG-IP 製品開発環境およびエンジニアリング・ナレッジ・プラットフォーム内において、不審なアクティビティが確認された 2025年8月9日に、この侵入が発覚した。具体的に言うと、高度な攻撃者が継続的なアクセスを維持し、ソースコードの一部やコンフィグの詳細などを含む、機密ファイルを盗み出したのだ。

ソフトウェア・サプライチェーンの変更や本番システムへの影響を示唆する証拠は見つかっていない。ただし、盗まれた知的財産が引き起こす懸念として、パッチ未適用の環境を狙ったゼロデイ攻撃の可能性がある。

このような状況の中で F5 は、包括的な対策を講じることで迅速に脅威を封じ込め、不正な行為を阻止し、侵入が継続していないことを確認した。同社は、CrowdStrike や Mandiant といった大手サイバー・セキュリティ企業に調査支援を依頼するとともに、法執行機関や政府機関とも連携している。

その一方で、米国 Cybersecurity and Infrastructure Security Agency (CISA) は緊急指令 ED 26-01 を発令し、影響を受けた F5 資産へのパッチ適用と隔離を直ちに実施するよう、連邦政府機関に対して命じている。

F5 のセキュリティ・アップデート

2025年10月15日に F5 は、四半期に一度のセキュリティ通知を公開し、最新リリースで修正された 44 件の脆弱性の詳細を公表した。これらの脆弱性の多くは、今回の侵害による影響に関連しているという。

重大度の高い CVE が大部分を占め、CVSS v3.1 のスコアは最大 8.7 に達している。また、影響の及ぶ範囲は、BIG-IP (CVE-2025-53868) や、F5OS プラットフォーム (CVE-2025-61955)、SCP/SFTP などのコンポーネントとされる。

これらの脆弱性は、特にリスクが増大するアプライアンス・モードにおいて、サービス拒否/権限昇格/リモートコード実行などを引き起こす恐れがある。

中リスクおよび低リスクの問題には、iControl REST の脆弱性 (CVE-2025-59481) や、コンフィグ・ユーティリティの脆弱性が含まれる。それらの問題は、BIG-IP 17.5.1.3/F5OS-C 1.8.2 などで修正されている。

深刻度 High の脆弱性
CVE IDCVSS Score (v3.1 / v4.0)Affected ProductsAffected VersionsFixes Introduced In
CVE-2025-53868​8.7 / 8.5BIG-IP (all modules)17.5.0, 17.1.0-17.1.2, 16.1.0-16.1.6, 15.1.0-15.1.1017.5.1, 17.1.3, 16.1.6.1, 15.1.10.8
CVE-2025-61955​7.8 (standard) / 8.8 (appliance) / 8.5F5OS-A, F5OS-CF5OS-A: 1.8.0^3, 1.5.1-1.5.3; F5OS-C: 1.8.0-1.8.1, 1.6.0-1.6.2^3F5OS-A: 1.8.3, 1.5.4; F5OS-C: 1.8.2, 1.6.4
CVE-2025-57780​7.8 (standard) / 8.8 (appliance) / 8.5F5OS-A, F5OS-CF5OS-A: 1.8.0^3, 1.5.1-1.5.3; F5OS-C: 1.8.0-1.8.1, 1.6.0-1.6.2^3F5OS-A: 1.8.3, 1.5.4; F5OS-C: 1.8.2, 1.6.4
CVE-2025-60016​7.5 / 8.7BIG-IP (all modules), BIG-IP Next SPK, BIG-IP Next CNFBIG-IP: 17.1.0-17.1.1; Next SPK: 1.7.0-1.9.2; Next CNF: 1.1.0-1.3.3BIG-IP: 17.1.2; Next SPK: 2.0.0; Next CNF: 2.0.0, 1.4.0
CVE-2025-48008​7.5 / 8.7BIG-IP (all modules), BIG-IP Next SPK, BIG-IP Next CNFBIG-IP: 17.1.0-17.1.2, 16.1.0-16.1.5, 15.1.0-15.1.10; Next SPK: 1.7.0-1.9.2; Next CNF: 1.1.0-1.4.1BIG-IP: 17.1.2.2, 16.1.6, 15.1.10.8; Next SPK: None; Next CNF: None
CVE-2025-59781​7.5 / 8.7BIG-IP (all modules), BIG-IP Next CNFBIG-IP: 17.1.0-17.1.2, 16.1.0-16.1.5, 15.1.0-15.1.10; Next CNF: 1.1.0-1.4.0BIG-IP: 17.1.2.2, 16.1.6, 15.1.10.8; Next CNF: 1.4.0 EHF-3^4
CVE-2025-41430​7.5 / 8.7BIG-IP SSL Orchestrator17.5.0, 17.1.0-17.1.2, 16.1.0-16.1.3, 15.1.0-15.1.917.5.1, 17.1.3, 16.1.4
CVE-2025-55669​7.5 / 8.7BIG-IP ASM17.1.0-17.1.2, 16.1.0-16.1.517.1.2.2, 16.1.6
CVE-2025-61951​7.5 / 8.7BIG-IP (all modules)17.5.0, 17.1.0-17.1.2, 16.1.0-16.1.617.5.1, 17.1.3, 16.1.6.1
CVE-2025-55036​7.5 / 8.7BIG-IP SSL Orchestrator17.1.0-17.1.2, 16.1.0-16.1.5, 15.1.0-15.1.1017.1.3, 16.1.6, 15.1.10.8
CVE-2025-54479​7.5 / 8.7BIG-IP PEM, BIG-IP Next CNF, BIG-IP Next for KubernetesBIG-IP PEM: 17.5.0, 17.1.0-17.1.2, 16.1.0-16.1.6, 15.1.0-15.1.10; Next CNF: 2.0.0-2.1.0, 1.1.0-1.4.0; Next K8s: 2.0.0-2.1.0BIG-IP PEM: 17.5.1, 17.1.3, 16.1.6.1, 15.1.10.8; Next CNF: 2.1.0 EHF-1^4, 2.0.2 EHF-2^4, 2.0.0 EHF-2^4, 1.4.0 EHF-3^4; Next K8s: 2.1.0 EHF-2^4
CVE-2025-46706​7.5 / 8.7BIG-IP (all modules), BIG-IP Next SPK, BIG-IP Next CNFBIG-IP: 17.1.0-17.1.2, 16.1.0-16.1.5; Next SPK: 1.7.0-1.9.2; Next CNF: 1.1.0-1.4.1BIG-IP: 17.1.2.2, 16.1.6; Next SPK: 2.0.0, 1.7.14 EHF-2^4; Next CNF: 2.0.0, 1.4.0 EHF-3^4
CVE-2025-59478​7.5 / 8.7BIG-IP AFM17.5.0, 17.1.0-17.1.2, 15.1.0-15.1.1017.5.1, 17.1.3, 15.1.10.8
CVE-2025-61938​7.5 / 8.7BIG-IP Advanced WAF/ASM17.5.0, 17.1.0-17.1.217.5.1, 17.1.3
CVE-2025-54858​7.5 / 8.7BIG-IP Advanced WAF/ASM17.5.0-17.5.1, 17.1.0-17.1.2, 16.1.0-16.1.6, 15.1.0-15.1.1017.5.1.3, 17.1.3, 16.1.6.1, 15.1.10.8
CVE-2025-58120​7.5 / 8.7BIG-IP Next SPK, BIG-IP Next CNF, BIG-IP Next for KubernetesNext SPK: 2.0.0, 1.7.0-1.7.14; Next CNF: 2.0.0, 1.1.0-1.4.1; Next K8s: 2.0.0Next SPK: 2.0.1, 1.7.14 EHF-2^4; Next CNF: 2.0.1; Next K8s: 2.1.0
CVE-2025-53856​7.5 / 8.7BIG-IP (all modules)17.5.0-17.5.1, 17.1.0-17.1.2, 16.1.0-16.1.6, 15.1.0-15.1.1017.5.1.3, 17.1.3, 16.1.6.1, 15.1.10.8
CVE-2025-61974​7.5 / 8.7BIG-IP (all modules), BIG-IP Next SPK, BIG-IP Next CNF, BIG-IP Next for KubernetesBIG-IP: 17.5.0-17.5.1, 17.1.0-17.1.2, 16.1.0-16.1.6, 15.1.0-15.1.10; Next SPK: 2.0.0-2.0.2, 1.7.0-1.9.2; Next CNF: 2.0.0-2.1.0, 1.1.0-1.4.1; Next K8s: 2.0.0-2.1.0BIG-IP: 17.5.1.3, 17.1.3, 16.1.6.1, 15.1.10.8; Next SPK: 2.1.0 EHF-1^4, 2.0.2 EHF-2^4, 2.0.0 EHF-2^4, 1.7.14 EHF-2^4; Next CNF: 2.1.0 EHF-1^4, 2.0.2 EHF-2^4, 2.0.0 EHF-2^4, 1.4.0 EHF-3^4; Next K8s: 2.1.0 EHF-1^4
CVE-2025-58071​7.5 / 8.7BIG-IP (all modules), BIG-IP Next CNF, BIG-IP Next for KubernetesBIG-IP: 17.5.0, 17.1.0-17.1.2, 16.1.0-16.1.6, 15.1.0-15.1.10; Next CNF: 2.0.0-2.1.0, 1.1.0-1.4.1; Next K8s: 2.0.0-2.1.0BIG-IP: 17.5.1, 17.1.3, 16.1.6.1, 15.1.10.8; Next CNF: 2.1.0 EHF-1^4, 2.0.2 EHF-2^4, 2.0.0 EHF-2^4, 1.4.0 EHF-3^4; Next K8s: 2.1.0 EHF-1^4
CVE-2025-53521​7.5 / 8.7BIG-IP APM17.5.0-17.5.1, 17.1.0-17.1.2, 16.1.0-16.1.6, 15.1.0-15.1.1017.5.1.3, 17.1.3, 16.1.6.1, 15.1.10.8
CVE-2025-61960​7.5 / 8.7BIG-IP APM17.5.0-17.5.1, 17.1.0-17.1.2, 16.1.0-16.1.617.5.1.3, 17.1.3, 16.1.6.1
CVE-2025-54854​7.5 / 8.7BIG-IP APM17.5.0-17.5.1, 17.1.0-17.1.2, 16.1.0-16.1.6, 15.1.0-15.1.1017.5.1.3, 17.1.3, 16.1.6.1, 15.1.10.8
CVE-2025-53474​7.5 / 8.7BIG-IP APM17.5.0-17.5.1, 17.1.0-17.1.2, 16.1.0-16.1.6, 15.1.0-15.1.1017.5.1.3, 17.1.3, 16.1.6.1, 15.1.10.8
CVE-2025-61990​7.5 / 8.7BIG-IP (all modules), BIG-IP Next SPK, BIG-IP Next CNF, BIG-IP Next for KubernetesBIG-IP: 17.5.0-17.5.1, 17.1.0-17.1.2, 16.1.0-16.1.6, 15.1.0-15.1.10; Next SPK: 2.0.0-2.0.2, 1.7.0-1.9.2; Next CNF: 2.0.0-2.1.0, 1.1.0-1.4.1; Next K8s: 2.0.0-2.1.0BIG-IP: 17.5.1.3, 17.1.3, 16.1.6.1, 15.1.10.8; Next SPK: 2.1.0 EHF-1^4, 2.0.2 EHF-2^4, 2.0.0 EHF-2^4, 1.7.15 EHF-2^4; Next CNF: 2.1.0 EHF-1^4, 2.0.2 EHF-2^4, 2.0.0 EHF-2^4, 1.4.0 EHF-3^4; Next K8s: 2.1.0 EHF-1^4
CVE-2025-58096​7.5 / 8.7BIG-IP (all modules)17.5.0-17.5.1, 17.1.0-17.1.2, 16.1.0-16.1.6, 15.1.0-15.1.1017.5.1.3, 17.1.3, 16.1.6.1, 15.1.10.8
CVE-2025-61935​7.5 / 8.7BIG-IP Advanced WAF/ASM17.5.0, 17.1.0-17.1.2, 15.1.0-15.1.1017.5.1, 17.1.3, 15.1.10.8
CVE-2025-59778​7.5 / 7.7F5OS-C1.8.0-1.8.1, 1.6.0-1.6.2^31.8.2, 1.6.4
深刻度 Medium の脆弱性
CVE IDCVSS Score (v3.1 / v4.0)Affected ProductsAffected VersionsFixes Introduced In
CVE-2025-59481​6.5 (standard) / 8.7 (appliance) / 8.5BIG-IP (all modules)17.5.0-17.5.1, 17.1.0-17.1.2, 16.1.0-16.1.6, 15.1.0-15.1.1017.5.1.3, 17.1.3, 16.1.6.1, 15.1.10.8
CVE-2025-61958​6.5 (standard) / 8.7 (appliance) / 8.5BIG-IP (all modules)17.5.0-17.5.1, 17.1.0-17.1.2, 16.1.0-16.1.6, 15.1.0-15.1.1017.5.1.1, 17.1.3, 16.1.6.1, 15.1.10.8
CVE-2025-47148​6.5 / 7.1BIG-IP APM, APM with SWG, SSL Orchestrator, SSL Orchestrator with SWG17.5.0, 17.1.0-17.1.2, 16.1.0-16.1.6, 15.1.0-15.1.1017.5.1, 17.1.3, 16.1.6.1, 15.1.10.8
CVE-2025-47150​6.5 / 7.1F5OS-A, F5OS-CF5OS-A: 1.8.0-1.8.1^3, 1.5.1-1.5.2; F5OS-C: 1.6.0-1.6.2^3, 1.8.0F5OS-A: 1.8.3, 1.5.3; F5OS-C: 1.6.4
CVE-2025-55670​6.5 / 7.1BIG-IP Next SPK, BIG-IP Next CNF, BIG-IP Next for KubernetesNext SPK: 1.7.0-1.9.2; Next CNF: 1.1.0-1.4.1; Next K8s: 2.0.0Next SPK: None; Next CNF: None; Next K8s: 2.1.0
CVE-2025-54805​6.5 / 6.0BIG-IP Next SPK, BIG-IP Next CNF, BIG-IP Next for KubernetesNext SPK: 1.7.0-1.9.2; Next CNF: 1.1.0-1.4.1; Next K8s: 2.0.0Next SPK: 2.0.0; Next CNF: 2.0.0; Next K8s: 2.1.0
CVE-2025-59269​6.1 / 8.4BIG-IP (all modules)17.5.0, 17.1.0-17.1.2, 16.1.0-16.1.6, 15.1.0-15.1.1017.5.1, 17.1.3, 16.1.6.1, 15.1.10.8
CVE-2025-58153​5.9 / 8.2BIG-IP (all modules)17.5.0, 16.1.0-16.1.6, 15.1.0-15.1.1017.5.1, 16.1.6.1, 15.1.10.8
CVE-2025-60015​5.7 / 6.9F5OS-A, F5OS-CF5OS-A: 1.8.0^3, 1.5.1-1.5.3; F5OS-C: 1.8.0-1.8.1, 1.6.0-1.6.2^3F5OS-A: 1.8.3, 1.5.4; F5OS-C: 1.8.2, 1.6.4
CVE-2025-59483​6.5 / 8.5BIG-IP (all modules)17.5.0-17.5.1, 17.1.0-17.1.2, 16.1.0-16.1.6, 15.1.0-15.1.1017.5.1.3, 17.1.3, 16.1.6.1, 15.1.10.8
CVE-2025-60013​5.7 / 4.6F5OS-A1.8.0^3, 1.5.1-1.5.31.8.3, 1.5.4
CVE-2025-59268​5.3 / 6.9BIG-IP (all modules)17.5.0-17.5.1, 17.1.0-17.1.2, 16.1.0-16.1.6, 15.1.0-15.1.1017.5.1.3, 17.1.3, 16.1.6.1, 15.1.10.8
CVE-2025-58474 ​5.3 / 6.9BIG-IP Advanced WAF/ASM, NGINX App Protect WAFBIG-IP: 17.1.0-17.1.1; NGINX: 4.5.0-4.6.0BIG-IP: 17.1.2; NGINX: 4.7.0
CVE-2025-61933 ​6.1 / 5.1BIG-IP APM17.5.0-17.5.1, 17.1.0-17.1.2, 16.1.0-16.1.6, 15.1.0-15.1.1017.5.1.3, 17.1.3, 16.1.6.1, 15.1.10.8
CVE-2025-54755 ​4.9 / 6.9BIG-IP (all modules)17.5.0-17.5.1, 17.1.0-17.1.2, 16.1.0-16.1.6, 15.1.0-15.1.1017.5.1.3, 17.1.3, 16.1.6.1, 15.1.10.8
CVE-2025-53860 ​4.1 / 5.6F5OS-A1.8.0^3, 1.5.1-1.5.21.8.3, 1.5.3
深刻度 Low の脆弱性
CVE IDCVSS Score (v3.1 / v4.0)Affected ProductsAffected VersionsFixes Introduced In
CVE-2025-58424 ​3.7 / 6.3BIG-IP (all modules), F5 Silverline (all services)BIG-IP: 17.1.0-17.1.2, 16.1.0-16.1.5, 15.1.0-15.1.10; Silverline: N/ABIG-IP: 17.1.2.2^3, 16.1.6^3, 15.1.10.8^3; Silverline: N/A
脆弱性の影響範囲と修正版
Exposure IDAffected ProductsAffected VersionsFixes Introduced In
K000150010: BIG-IP AFM security exposure ​BIG-IP AFM17.5.0-17.5.1, 17.1.0-17.1.2, 16.1.0-16.1.6, 15.1.0-15.1.1017.5.1.1, 17.1.3

BIG-IP Next for Kubernetes に関しては、TMM および SSL/TLS の脆弱性を軽減するための、2.1.0 EHF-14 などのホット・フィックスが提供されている。BIG-IP AFM のセキュリティ上の脆弱性も修正されており、サポート対象の全バージョンに対する迅速なアップグレードが不可欠となっている。

未公開の脆弱性を悪用するインシデントは確認されていないと F5 は述べているが、顧客のネットワークにおけるラテラル・ムーブメントやデータ漏洩を防ぐためには、アップデートが不可欠であると強調している。

顧客にとって必要なことは、これらのアップデートの適用を優先し、SIEM ツールへのイベント・ストリーミングを有効化し、管理インターフェースをパブリック・アクセスから分離することだ。

また、サポート終了製品の利用を停止することで、さらにリスクは軽減される。今回のインシデントに際して F5 が示した透明性は、国家による脅威の進化を浮き彫りにするものだ。国家に支援される脅威アクターが、窃取したコードを悪用することで、重要インフラに対する高度な攻撃の可能性が高まるとされている。

F5 の社内システムへ不正侵入した脅威アクターが、ソースコードや未公開脆弱性データを窃取しました。同社の開発環境やナレッジ・プラットフォームへの継続的アクセスが維持されており、被害が拡大しました。国家レベルの高度な脅威アクターの関与も示唆されており、サプライチェーンや顧客環境へと攻撃が広がる可能性もあります。ご利用のチームは、ご注意ください。よろしければ、2025/10/15 の「F5 に侵入した脅威アクター:BIG-IP のソースコードと脆弱性関連の機密情報を盗み出す」も、ご参照ください。