由 dawei 8月27日消息,据外媒报道,网络流量管理和安全公司 F5网络的软件存在漏洞,攻击者可能利用该软件窃取用户数据。
据悉,F5于周三披露了这些漏洞,并在更新后的软件进行了修补。修补前的漏洞数达到29 个,包括一系列运行问题,29 个漏洞中有 13 个被评为高严重度。
这次漏洞被正式命名为CVE-2021-23031,影响高级WAF 和IP ASM。该漏洞将允许经过验证的用户执行特权升级。获得配置实用程序的访问权限后,经过验证的黑客可以执行任意的系统命令、创建或删除文件或禁用服务。
F5也警告称,由于任何经过验证的用户都可以访问主要漏洞,因此没有总体的可行缓解方案。尽管其已修补了黑客的访问路径,但任何经过合法验证的用户仍然可以利用该漏洞。降低风险的唯一方法是删除对尚未完全信任的用户的访问权限。
数字风险保护服务提供商Digital Shadows高级网络威胁情报分析师Sean Nikkel表示:"由于F5的产品被用于许多托管和大型企业应用,用户应该确保其使用的F5产品是否安全。攻击者获得对所列设备(尤其是 Web 应用程序防火墙)的任何一项设备的控制,可能会对整个公司造成严重破坏。“
SaaS网络安全创企Vulcan Cyber联合创始人兼首席执行官Yaniv Bar-Dayan认为:"F5产品中尽管出现29个漏洞(其中许多是高度严重),看起来似乎不是个小数字,但对于任何知名企业技术提供商来说,考虑到每年披露的数以万计的漏洞,这一数据其实是在下降。“