HackerNews 编译，转载请注明出处： 网络安全公司F5披露，2025年8月，一个高度复杂的国家级行为者入侵其系统，窃取了BIG-IP的源代码及与未公开漏洞相关的信息。 攻击者访问了该公司的BIG-IP开发和工程系统，但F5指出，遏制工作成功，未发现进一步的未授权活动。 该公司已向执法部门报告了这一事件，并在领先网络安全公司的帮助下调查安全漏洞。 “2025年8月，我们发现一个高度复杂的国家级威胁行为者长期、持续地访问某些F5系统并下载文件。这些系统包括我们的BIG-IP产品开发环境和工程知识管理平台。我们已采取广泛措施遏制威胁行为者。自开始这些活动以来，我们未发现任何新的未授权活动，我们相信我们的遏制工作是成功的。”该公司发布的安全事件通知中写道。 “针对此次事件，我们正在采取主动措施保护客户，加强企业及产品环境的安全态势。我们已聘请CrowdStrike、Mandiant及其他领先网络安全专家支持这项工作，我们正积极与执法部门和政府合作伙伴合作。” F5在其客户关系管理、财务或云系统中未发现被入侵迹象，也未发现源代码或供应链被篡改。该公司表示，一些被盗文件包含有限的客户配置数据。网络安全公司正在通知受影响的客户。 “我们没有证据表明我们的软件供应链被修改，包括我们的源代码以及我们的构建和发布管道。这一评估已通过领先网络安全研究公司NCC集团和IOActive的独立审查得到验证。”通知中继续写道。“我们没有证据表明威胁行为者访问或修改了NGINX源代码或产品开发环境，也没有证据表明他们访问或修改了我们的F5分布式云服务或Silverline系统。” 该公司还向美国证券交易委员会（SEC）提交了8-K表格报告。 “2025年8月9日，F5公司（‘公司’、‘F5’、‘我们’或‘我们的’）发现一个高度复杂的国家级威胁行为者获得了对某些公司系统的未授权访问。公司迅速启动了事件响应流程，并已采取广泛措施遏制威胁行为者。为支持这些活动，公司聘请了领先的外部网络安全专家。”报告中写道。 F5通过广泛的遏制和加固措施应对漏洞，以保护其系统和客户。该公司轮换了凭据，收紧了访问控制，实现了补丁管理自动化，并加强了监控和网络安全。 网络安全公司还在其产品开发环境中增强了保护措施，并继续与NCC集团和IOActive进行深入代码审查和渗透测试。此外，F5与CrowdStrike合作，为BIG-IP部署Falcon EDR和威胁狩猎，并为客户提供免费的EDR订阅以增强防御。 用户应尽快为BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ和APM客户端安装最新更新，以确保全面保护。 英国国家网络安全中心（NCSC）和美国网络安全与基础设施安全局（CISA）建议F5客户定位所有F5产品，确保暴露的管理接口安全，并评估是否被入侵。F5应美国政府要求延迟披露，以保护关键系统。     消息来源： securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

上周，F5 披露并修补了一个严重等级达到 9.8 / 10 分的 BIG-IP 漏洞。由于 iControl REST 身份验证配置错误，黑客可借此以 root 权限运行系统命令。据悉，iControl REST 是一组用于配置和管理 BIG-IP 设备的基于 Web 的编程接口，而 BIG-IP 则是该组织用于负载均衡、防火墙、以及检查和加密进出网络数据的一系列设备。 ArsTechnica 指出：BIG-IP 涵盖了超过 16000 个可在线发现的设备实例，且官方宣称有被财富 50 强中的 48 家所采用。 然而让 Randori 安全研究主管 Aaron Portnoy 感到震惊的是： 由于身份验证的设施方法存在缺陷，该问题竟使得能够访问管理界面的攻击者伪装系统管理员身份，之后便可与应用程序提供的所有端点进行交互、甚至执行任意代码。 鉴于 BIG-IP 靠近网络边缘、且作为管理 Web 服务器流量的设备功能，它们通常处于查看受 HTTPS 保护的流量 / 解密内容的有利位置。 过去一整天，Twitter 上流传的大量图片，揭示了黑客是如何积极在野外利用 CVE-2022-1388 漏洞，来访问名为 bash 的 F5 应用程序端点的。 其功能是提供一个接口，用于将用户提供的输入，作为具有 root 权限的 bash 命令来运行。更让人感到震惊的是，虽然不少概念验证（PoC）用到了密码，但也有一些案例甚至可在不提供密码的情况下运作。 对于如此重要的设备命令竟然被这样松散地处置，许多业内人士都感到大为不解，此外有报告提到攻击者可利用 webshell 后门来维持对 BIG-IP 设备的控制（即便修补后也是如此）。 在其中一个案例中，有 IP 地址为 216.162.206.213 和 209.127.252.207 的攻击者将有效载荷置入了 /tmp/f5.sh 的文件路径、从而在 /usr/local/www/xui/common/css/ 中部署基于 PHP 的 webshell 后门。 当然，这并不是安全研究人员被如此离谱严重的漏洞给惊到。比如不少人都提到，这种情况与两年前的 CVE-2020-5902 实在太过相似。 不过随着大家对于 CVE-2022-1388（RCE）漏洞的易得性、强大功能、以及广泛性有了更深入的了解，相关风险也正笼罩到更多人的头上。 如果你所在的组织机构正在使用 F5 的 BIG-IP 设备，还请着重检查并修补该漏洞、以减轻任何可能遇到的潜在风险。 有需要的话，可参考 Randori 热心提供的漏洞详情分析 / 单行 bash 脚本，并抽空详阅 F5 给出的其它建议与指导（KB23605346） 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1267699.htm 封面来源于网络，如有侵权请联系删除

近日，应用交付领域（ADN）全球领导者F5公司发布了一项安全警告，其研究团队监测到一个关键漏洞正在被积极利用。漏洞的追踪代码为CVE-2022-1388，CVSS 3.0评分为9.8，危险等级非常高。该漏洞允许未经身份验证的网络攻击者执行任意系统命令，执行文件操作，并禁用BIG-IP上的服务。 根据F5的安全研究显示，这个漏洞存在于iControl REST组件中，并允许攻击者发送未公开的请求以绕过BIG-IP中的iControl REST认证。 由于该漏洞的严重性以及BIG-IP产品的广泛应用，CISA（美国网络安全和基础设施安全局）也对此发出了警告。 受影响产品的完整名单如下: BIG-IP versions 16.1.0 to 16.1.2 BIG-IP versions 15.1.0 to 15.1.5 BIG-IP versions 14.1.0 to 14.1.4 BIG-IP versions 13.1.0 to 13.1.4 BIG-IP versions 12.1.0 to 12.1.6 BIG-IP versions 11.6.1 to 11.6.5 F5公司方面表示，目前已在版本v17.0.0、v16.1.2.2、v15.1.5.1、v14.1.4.6 和 v13.1.5 中引入了修复补丁。而版本12.x和11.x 可能将不会受到修复。 此外，在安全报告中，研究人员特别指出了BIG-IQ集中管理（Centralized Management），F5OS-A, F5OS-C，和Traffic SDC不会受到CVE-2022-1388的影响。 对于那些暂时不能进行安全更新的人，F5提供了以下3个有效的缓解措施：通过自有 IP 地址阻止对 BIG-IP 系统的 iControl REST 接口的所有访问；通过管理界面将访问限制为仅受信任的用户和设备；修改 BIG-IP httpd 配置。 在F5发布的安全报告中，我们可以看到关于如何完成上述操作的所有细节。但有些方法，如完全阻止访问可能对服务产生影响，包括破坏高可用性（HA）配置。因此，如果可以的话，安全更新仍然是最佳的途径。 由于F5 BIG-IP设备被企业广泛应用，这个漏洞就导致了攻击者获得对企业网络的初始访问权限的重大风险。对此，F5发布了一项通用性更高的安全报告，涵盖了在BIG-IP中发现和修复的另外17个高危漏洞。 更糟糕的是，自2020年以来，安全研究人员Nate Warfield发现，被公开暴露的BIG-IP设备数量显著增加，而企业妥善保护的设备数量却没有。 基于Warfield共享的查询，在搜索引擎Shodan上，我们可以看到当前共有有16,142台F5 BIG-IP设备被公开暴露在网络上。 这些设备大多位于美国，其次是中国、印度、澳大利亚和日本。 现在，安全研究人员已经开始缩小范围地检测漏洞，或许就在不久的将来，我们就可以看到攻击者如何扫描易受攻击的设备。 报告的结尾，研究人员建议管理员务必对设备进行补丁修复，或者采取报告建议的方法减轻漏洞的影响。   转自 FreeBuf ，原文链接：https://www.freebuf.com/news/332097.html 封面来源于网络，如有侵权请联系删除