CISA vydává nouzovou směrnici k řešení kritických zranitelností zařízení F5
Dne 15. října 2025 vydala americká Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) nouzovou směrnici 26-01 jako reakci na významnou kybernetickou hrozbu, která cílí na federální sítě využívající konkrétní zařízení a software F5.
15.10. 2025, WASHINGTON – Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) identifikovala významnou kybernetickou hrozbu zaměřenou na federální sítě využívající určitá zařízení a software F5. Kybernetická hrozba ze strany národního státu představuje bezprostřední riziko, protože může zneužít zranitelnosti produktů F5 k neoprávněnému přístupu k zabudovaným přihlašovacím údajům a klíčům rozhraní API (Application Programming Interface). Takové zneužití by mohlo hrozbě umožnit pohybovat se v rámci sítě organizace, odcizit citlivá data a získat trvalý přístup k systému, což by mohlo vést k úplnému ohrožení cílových informačních systémů.
V reakci na tuto hrozbu vydala CISA nouzovou směrnici 26-01. Tato směrnice, třetí vydaná za vlády Donalda Trumpa, navazuje na zveřejnění společnosti F5, že národní hrozba měla dlouhodobý trvalý přístup k souborům z vývojového prostředí BIG-IP a platforem pro správu technických znalostí společnosti a tyto soubory odcizila. CISA dospěla k závěru, že tyto podmínky představují nepřijatelné riziko pro agentury federální civilní výkonné moci (FCEB). Všechny agentury musí do 22. října 2025 aplikovat nejnovější aktualizaci poskytnutou dodavatelem pro ohrožená virtuální a fyzická zařízení F5 a stažený software, včetně F5OS, BIG-IP TMOS, BIG-IQ a BNK / CNF, a postupovat podle pokynů v čtvrtletním bezpečnostním oznámení společnosti F5.
„Navzdory vypršení platnosti zákona o sdílení informací o kybernetické bezpečnosti z roku 2015 zůstává CISA pevně odhodlána chránit naše federální sítě před nepřáteli na úrovni národních států,“ uvedl Madhu Gottumukkala, úřadující ředitel CISA. „Alarmující snadnost, s jakou mohou být tyto zranitelnosti zneužity zlovolnými aktéry, vyžaduje okamžitá a rozhodná opatření ze strany všech federálních agentur. Stejná rizika se vztahují na všechny organizace, které tuto technologii používají, a mohou vést ke katastrofálnímu ohrožení kritických informačních systémů. Důrazně vyzýváme všechny subjekty, aby bezodkladně provedly opatření uvedená v této nouzové směrnici.“
Vzhledem k tomu, že federální civilní agentury tento mandát provádějí, CISA bude posuzovat a podporovat dodržování předpisů agenturami a v případě potřeby poskytne další zdroje. CISA se zavázala využívat své pravomoci v oblasti kybernetické bezpečnosti k získání většího přehledu a k včasnému snižování rizik ve federálních civilních agenturách.
