F5披露了針對BIG-IP系統的國家網絡攻擊;沒有證據表明存在重大漏洞或客户數據泄露

2025年8月9日，F5，Inc. (the「公司」、「F5」、「我們」或「我們的」）獲悉，一個高度複雜的民族國家威脅行為者未經授權訪問了某些公司系統。該公司立即啟動了事件響應流程，並採取了廣泛行動來遏制威脅行為者。爲了支持這些活動，該公司聘請了領先的外部網絡安全專家。

該公司相信其遏制行動是成功的，自啟動遏制工作以來，尚未觀察到任何新的未經授權活動的證據。調查、監測和相關活動正在進行中。該公司正在就這一事件與聯邦執法部門和政府合作伙伴積極接觸。此外，該公司正在採取進一步措施來加強其安全環境並保護其客户。

在調查過程中，該公司確定威脅行為者保持對某些F5系統的長期、持續訪問權限，包括BIG-IP產品開發環境和工程知識管理平臺。通過此訪問，某些文件被泄露，其中一些包含該公司BIG-IP源代碼的某些部分以及有關該公司正在BIG-IP中處理的未公開漏洞的信息。我們不知道任何未公開的關鍵或遠程代碼漏洞，也不知道任何未公開的F5漏洞被主動利用。我們沒有證據表明我們的軟件供應鏈被修改，包括我們的源代碼以及我們的構建和發佈管道。該評估已通過領先的網絡安全研究公司的獨立審查進行驗證。

我們沒有證據表明我們的CRM、財務、支持案例管理或iHealth系統中的數據被訪問或泄露。然而，從我們的知識管理平臺中泄露的一些文件包含了一小部分客户的配置或實施信息。本公司目前正在審查這些文件的內容，並將酌情直接與受影響的客户溝通。

我們沒有證據表明威脅行為者訪問或修改了NGINX源代碼或產品開發環境，也沒有證據表明他們訪問或修改了我們的F5分佈式雲服務或Silverline系統。

2025年9月12日，美國司法部裁定，根據表格8-K第1.05（c）項，有理由推迟公開披露。F5目前正在及時提交本報告。

截至本披露之日，該事件尚未對公司的運營產生重大影響，公司正在評估該事件對其財務狀況或經營業績可能產生的合理影響。

2025年10月9日，邁克爾·蒙託亞辭去了F5董事會（「董事會」）董事的職務，包括風險委員會以及提名和環境、社會和治理委員會的成員職務，立即生效。他辭去董事會職務的決定並非由於與公司存在任何分歧。

蒙託亞先生一直是董事會中一位有價值的成員，在辭去董事會職務后，蒙託亞先生繼續在公司服務，並被任命為F5首席技術運營官，自2025年10月13日起生效，直接向首席執行官（CEO）匯報。蒙託亞將領導企業範圍內的戰略和執行，以安全為核心來建設和運營公司。

根據提名與環境、社會和治理委員會的建議，並鑑於蒙託亞先生的辭職，董事會將董事會的規模從十一人減少到十人。由於削減，董事會目前沒有空缺。

2025年10月15日，F5在其MyF5客户支持網站上發佈了有關該事件的某些信息。該帖子的副本作為本報告附件99.1提供。

就修訂后的1934年證券交易法第18條而言，本第7.01項和附件99.1中的信息不應被視為「歸檔」（「交易法」），或以其他方式受該節的責任約束，並且不得通過引用的方式納入根據1933年證券法提交的任何登記聲明或其他文件中，修訂后的或《交易法》，除非在該文件中通過具體引用明確規定。