F5网络确认遭入侵
NCSC建议组织遵循F5发布的指南并安装最新的安全更新。
事件概述
F5已发布声明确认其系统遭到入侵,且发生数据外泄。据报道,被窃数据包括部分BIG-IP源代码和漏洞信息。
此次入侵可能使威胁行为者能够:
- 利用F5设备和软件
- 进行静态和动态分析以识别逻辑缺陷和漏洞,并开发针对性漏洞利用程序
成功利用受影响的F5产品可能使威胁行为者获取嵌入式凭据和应用程序编程接口(API)密钥,在组织网络内横向移动,外泄数据并建立持久系统访问权限。
目前尚无迹象表明任何客户网络因F5网络入侵而受到影响。
尽管目前没有迹象表明nginx受到影响,但根据NCSC漏洞管理指南,实例应始终更新至最新版本。
受影响范围
受影响的F5产品:
硬件: BIG-IP i系列、r系列或任何已达到终止支持的其他F5设备
软件: 所有运行BIG-IP(F5OS)、BIG-IP(TMOS)、虚拟版(VE)、BIG-IP Next、BIG-IQ以及BIG-IP Next for Kubernetes(BNK)/云原生网络功能(CNF)的设备
应对措施
如果您使用F5产品,应采取以下优先行动:
- 识别所有F5产品(硬件、软件和虚拟化产品)
- 管理接口不应暴露在互联网上。如果发现暴露的管理接口,应进行入侵评估
- 如果您认为已遭到入侵,应联系F5 SIRT;如果您在英国,还应向NCSC报告
- 遵循供应商在《加固F5系统》中的最佳实践建议
- 安装最新的F5安全更新
- 更换任何已达到终止支持的产品,或遵循NCSC的过时产品指南
- 执行持续网络监控和威胁追踪
更多NCSC资源
NCSC提供一系列免费指南、服务和工具来帮助保护系统安全:
- 遵循NCSC指南,包括漏洞管理、外部攻击面管理(EASM)买家指南和防止横向移动
- 如果您的组织在英国,可以注册免费的NCSC早期预警服务,接收网络潜在威胁通知
- NCSC漏洞披露工具包帮助各种规模的组织实施漏洞披露流程的基本组件