HackerNews 编译，转载请注明出处： 网络安全公司F5披露，2025年8月，一个高度复杂的国家级行为者入侵其系统，窃取了BIG-IP的源代码及与未公开漏洞相关的信息。 攻击者访问了该公司的BIG-IP开发和工程系统，但F5指出，遏制工作成功，未发现进一步的未授权活动。 该公司已向执法部门报告了这一事件，并在领先网络安全公司的帮助下调查安全漏洞。 “2025年8月，我们发现一个高度复杂的国家级威胁行为者长期、持续地访问某些F5系统并下载文件。这些系统包括我们的BIG-IP产品开发环境和工程知识管理平台。我们已采取广泛措施遏制威胁行为者。自开始这些活动以来，我们未发现任何新的未授权活动，我们相信我们的遏制工作是成功的。”该公司发布的安全事件通知中写道。 “针对此次事件，我们正在采取主动措施保护客户，加强企业及产品环境的安全态势。我们已聘请CrowdStrike、Mandiant及其他领先网络安全专家支持这项工作，我们正积极与执法部门和政府合作伙伴合作。” F5在其客户关系管理、财务或云系统中未发现被入侵迹象，也未发现源代码或供应链被篡改。该公司表示，一些被盗文件包含有限的客户配置数据。网络安全公司正在通知受影响的客户。 “我们没有证据表明我们的软件供应链被修改，包括我们的源代码以及我们的构建和发布管道。这一评估已通过领先网络安全研究公司NCC集团和IOActive的独立审查得到验证。”通知中继续写道。“我们没有证据表明威胁行为者访问或修改了NGINX源代码或产品开发环境，也没有证据表明他们访问或修改了我们的F5分布式云服务或Silverline系统。” 该公司还向美国证券交易委员会（SEC）提交了8-K表格报告。 “2025年8月9日，F5公司（‘公司’、‘F5’、‘我们’或‘我们的’）发现一个高度复杂的国家级威胁行为者获得了对某些公司系统的未授权访问。公司迅速启动了事件响应流程，并已采取广泛措施遏制威胁行为者。为支持这些活动，公司聘请了领先的外部网络安全专家。”报告中写道。 F5通过广泛的遏制和加固措施应对漏洞，以保护其系统和客户。该公司轮换了凭据，收紧了访问控制，实现了补丁管理自动化，并加强了监控和网络安全。 网络安全公司还在其产品开发环境中增强了保护措施，并继续与NCC集团和IOActive进行深入代码审查和渗透测试。此外，F5与CrowdStrike合作，为BIG-IP部署Falcon EDR和威胁狩猎，并为客户提供免费的EDR订阅以增强防御。 用户应尽快为BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ和APM客户端安装最新更新，以确保全面保护。 英国国家网络安全中心（NCSC）和美国网络安全与基础设施安全局（CISA）建议F5客户定位所有F5产品，确保暴露的管理接口安全，并评估是否被入侵。F5应美国政府要求延迟披露，以保护关键系统。     消息来源： securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Hackernews 编译，转载请注明出处： Rapid7研究人员在运行CentOS定制发行版的F5 BIG-IP和BIG-IQ设备中发现了几个漏洞。专家们还发现了安全控制的几个绕过，安全供应商F5并不认为这是可利用的漏洞。 专家发现的漏洞有： CVE-2022-41622是一种通过跨站点请求伪造 （CSRF） 执行未经身份验证的远程代码，会影响BIG-IP和BIG-IQ产品。 供应商发布的公告表示：“攻击者可能会欺骗具有资源管理员角色权限并通过iControl SOAP中的基本身份验证的用户执行关键操作。攻击者只能通过控制平面（而不是数据平面）利用此漏洞。如果被利用，此漏洞可能会危及整个系统。” CVE-2022-41800是通过RPM规范注入执行经过身份验证的远程代码，驻留在设备模式iControl REST中。在设备模式下，具有分配管理员角色的有效用户凭据的认证用户可以绕过设备模式限制。 公告中写道：“在设备模式下，具有分配给管理员角色的有效用户凭据的认证用户可以绕过设备模式限制。这是一个控制平面问题；没有数据平面暴露。设备模式由特定许可证强制实施，或者可以为单个虚拟群集多处理器（vCMP）来宾实例启用或禁用。” 上述漏洞被评为高严重性。 Rapid7于2022年8月18日向F5报告了这两个漏洞，并支持供应商解决这些问题。 以下是 F5 因不可利用而拒绝的安全控制的绕过： ID1145045 – 通过错误的UNIX套接字权限提升本地权限 （CWE-269） ID1144093 – 通过不正确的文件上下文绕过SELinux （CWE-732） ID1144057 – 通过更新脚本中的命令注入绕过SELinux （CWE-78）   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近日，应用交付领域（ADN）全球领导者F5公司发布了一项安全警告，其研究团队监测到一个关键漏洞正在被积极利用。漏洞的追踪代码为CVE-2022-1388，CVSS 3.0评分为9.8，危险等级非常高。该漏洞允许未经身份验证的网络攻击者执行任意系统命令，执行文件操作，并禁用BIG-IP上的服务。 根据F5的安全研究显示，这个漏洞存在于iControl REST组件中，并允许攻击者发送未公开的请求以绕过BIG-IP中的iControl REST认证。 由于该漏洞的严重性以及BIG-IP产品的广泛应用，CISA（美国网络安全和基础设施安全局）也对此发出了警告。 受影响产品的完整名单如下: BIG-IP versions 16.1.0 to 16.1.2 BIG-IP versions 15.1.0 to 15.1.5 BIG-IP versions 14.1.0 to 14.1.4 BIG-IP versions 13.1.0 to 13.1.4 BIG-IP versions 12.1.0 to 12.1.6 BIG-IP versions 11.6.1 to 11.6.5 F5公司方面表示，目前已在版本v17.0.0、v16.1.2.2、v15.1.5.1、v14.1.4.6 和 v13.1.5 中引入了修复补丁。而版本12.x和11.x 可能将不会受到修复。 此外，在安全报告中，研究人员特别指出了BIG-IQ集中管理（Centralized Management），F5OS-A, F5OS-C，和Traffic SDC不会受到CVE-2022-1388的影响。 对于那些暂时不能进行安全更新的人，F5提供了以下3个有效的缓解措施：通过自有 IP 地址阻止对 BIG-IP 系统的 iControl REST 接口的所有访问；通过管理界面将访问限制为仅受信任的用户和设备；修改 BIG-IP httpd 配置。 在F5发布的安全报告中，我们可以看到关于如何完成上述操作的所有细节。但有些方法，如完全阻止访问可能对服务产生影响，包括破坏高可用性（HA）配置。因此，如果可以的话，安全更新仍然是最佳的途径。 由于F5 BIG-IP设备被企业广泛应用，这个漏洞就导致了攻击者获得对企业网络的初始访问权限的重大风险。对此，F5发布了一项通用性更高的安全报告，涵盖了在BIG-IP中发现和修复的另外17个高危漏洞。 更糟糕的是，自2020年以来，安全研究人员Nate Warfield发现，被公开暴露的BIG-IP设备数量显著增加，而企业妥善保护的设备数量却没有。 基于Warfield共享的查询，在搜索引擎Shodan上，我们可以看到当前共有有16,142台F5 BIG-IP设备被公开暴露在网络上。 这些设备大多位于美国，其次是中国、印度、澳大利亚和日本。 现在，安全研究人员已经开始缩小范围地检测漏洞，或许就在不久的将来，我们就可以看到攻击者如何扫描易受攻击的设备。 报告的结尾，研究人员建议管理员务必对设备进行补丁修复，或者采取报告建议的方法减轻漏洞的影响。   转自 FreeBuf ，原文链接：https://www.freebuf.com/news/332097.html 封面来源于网络，如有侵权请联系删除