F5 网络软件存在漏洞，黑客开始窃取数据的大门

发布时间：2021-11-10 11:26 所属栏目：53 来源：互联网

导读：8月27日消息，据外媒报道，网络流量管理和安全公司 F5网络的软件存在漏洞，攻击者可能利用该软件窃取用户数据。据悉，F5于周三披露了这些漏洞，并在更新后的软件进行了修补。修补前的漏洞数达到29 个，包括一系列运行问题，29 个漏洞中有 13 个被评为高严重

8月27日消息，据外媒报道，网络流量管理和安全公司 F5网络的软件存在漏洞，攻击者可能利用该软件窃取用户数据。

据悉，F5于周三披露了这些漏洞，并在更新后的软件进行了修补。修补前的漏洞数达到29 个，包括一系列运行问题，29 个漏洞中有 13 个被评为高严重度。

这次漏洞被正式命名为CVE-2021-23031，影响高级WAF 和IP ASM。该漏洞将允许经过验证的用户执行特权升级。获得配置实用程序的访问权限后，经过验证的黑客可以执行任意的系统命令、创建或删除文件或禁用服务。

F5也警告称，由于任何经过验证的用户都可以访问主要漏洞，因此没有总体的可行缓解方案。尽管其已修补了黑客的访问路径，但任何经过合法验证的用户仍然可以利用该漏洞。降低风险的唯一方法是删除对尚未完全信任的用户的访问权限。

数字风险保护服务提供商Digital Shadows高级网络威胁情报分析师Sean Nikkel表示："由于F5的产品被用于许多托管和大型企业应用，用户应该确保其使用的F5产品是否安全。攻击者获得对所列设备（尤其是 Web 应用程序防火墙）的任何一项设备的控制，可能会对整个公司造成严重破坏。“

SaaS网络安全创企Vulcan Cyber联合创始人兼首席执行官Yaniv Bar-Dayan认为："F5产品中尽管出现29个漏洞（其中许多是高度严重），看起来似乎不是个小数字，但对于任何知名企业技术提供商来说，考虑到每年披露的数以万计的漏洞，这一数据其实是在下降。“

（编辑：ASP站长网）