網路安全公司 F5 本週揭露了安全漏洞，網路安全非營利組織 Shadowserver Foundation 發現超過266,000 個 F5 BIG-IP 實例暴露在網路上。該公司週三透露，國家駭客入侵了其網絡，竊取了未公開的 BIG-IP 安全漏洞的源代碼和信息，但沒有發現任何證據表明攻擊者洩露或利用了未公開的漏洞進行攻擊。同一天，F5 還發布了補丁，修復了 44 個漏洞（包括在網路攻擊中被竊取的漏洞），並敦促客戶盡快更新其設備。

該公司表示：「BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ 和 APM 客戶端的更新現已發布。雖然我們尚未發現任何未公開的嚴重漏洞或遠端程式碼執行漏洞，但我們強烈建議您盡快更新 BIG-IP 軟體。」目前尚不清楚有多少網路已經採取了安全措施，以抵禦可能利用本週揭露的 BIG-IP 漏洞的攻擊。

本週CISA 還發布了一項緊急指令，要求美國聯邦機構在 10 月 22 日之前安裝最新的 F5 安全補丁，以確保 F5OS、BIG-IP TMOS、BIG-IQ 和 BNK/CNF 產品的安全，CISA 還命令他們斷開並停用所有已達到支援終止日期的暴露在互聯網上的 F5 設備，因為它們將不再接收補丁，並且很容易受到攻擊。

這起事件對全球IT基礎設施構成雙重重大威脅。首先，F5是關鍵應用程式交付控制器（ADC）和安全服務的領先供應商，其核心產品BIG-IP被廣泛用於大型企業、政府和關鍵基礎設施。國家級駭客入侵F5內部網路並竊取未公開漏洞（Potential Zero-Day）的原始碼，極大地縮短了攻擊者開發有效攻擊工具所需的時間。雖然F5尚未發現這些漏洞被公開利用的證據，但原始碼的失竊使得相關設備的風險等級立即飆升。攻擊者現在對這些漏洞有著「內部人士」般的理解，能夠在防禦者之前開發出精確的剝削工具。

其次，由Shadowserver Foundation揭露的數據顯示，全球有超過266,000個F5 BIG-IP實例直接暴露在網際網路上。這些設備通常作為網路閘道或應用程式防火牆，一旦遭到遠端攻擊利用，可能導致敏感數據洩露、營運中斷甚至遠端程式碼執行（RCE）。儘管F5發布了涵蓋44個漏洞的綜合性補丁包，但龐大的暴露數量和企業修補的複雜性，使得攻擊窗口仍然開放。特別是針對那些被國家級駭客竊取原始碼的漏洞，攻擊者可能已經在準備大規模的自動化攻擊。

美國網路安全和基礎設施安全局（CISA）對此事件的反應極為迅速且嚴厲，發布了緊急指令（Emergency Directive）。CISA要求所有美國聯邦機構必須在10月22日這一極短的期限內完成F5相關產品（包括F5OS、BIG-IP TMOS、BIG-IQ和BNK/CNF）的最新安全補丁安裝。這項緊急指令不僅體現了對潛在威脅的嚴重擔憂，也為業界設定了應對關鍵漏洞的標準。更重要的是，CISA還強制要求聯邦機構斷開並停用所有已達到支援終止（End-of-Life, EOL）且暴露在網際網路上的F5設備。由於EOL設備將不再接收任何安全補丁，它們將永久地成為無法修復的遠端攻擊入口點，必須立即從網路中移除或隔離，以消除持續風險。

對於所有使用F5產品的企業而言，首要任務是立即修補所有受影響的軟體版本，並審核其BIG-IP實例是否不必要地暴露於公網。同時，應對內部網路進行威脅獵捕（Threat Hunting），檢查是否有任何跡象表明駭客在F5發布補丁前已滲透到系統內部。此事件再次證明，供應鏈安全漏洞和資產清單管理的缺失，是當今企業最致命的弱點。

資料來源：https://www.bleepingcomputer.com/news/security/over-266-000-f5-big-ip-instances-exposed-to-remote-attacks/