答案已发布20 来源
攻击者如何利用 F5 BIG‑IP 与 Linux 内核漏洞链入侵企业网络
攻击者可利用 F5 BIG‑IP APM 的远程代码执行漏洞(CVE‑2025‑53521)获得初始访问,然后利用 Linux 内核提权漏洞 Copy Fail 或 Dirty Frag 获取 root 权限。 Copy Fail 与 Dirty Frag 本身无法远程利用,但一旦攻击者在设备上获得低权限访问,就可以将其升级为完整系统控制权。
1.5M0
AI 提示
openai.comCreate a landscape editorial hero image for this Studio Global article: How are hackers chaining vulnerabilities in internet‑facing F5 BIG‑IP appliances with Linux privilege‑escalation bugs like CopyFail (CVE‑202. Article summary: Hackers are reportedly using a two-step chain: first they gain initial access on exposed F5 BIG‑IP APM devices through a remotely exploitable flaw such as CVE‑2025‑53521, then they use Linux local privilege-escalation bu. Topic tags: general, government, education, documentation, general web. Reference image context from search candidates: Reference image 1: visual subject "A local privilege escalation (LPE) vulnerability, dubbed Copy Fail (CVE-2026-31431), has been identified in the Linux kernel's `authencesn` cryptographic template. This logic flaw" source context "Weekly Threat Bulletin – May 6th, 2026 | F5 Labs" Reference image 2: visual subject "# CVE-2026
企业网络攻击正在出现一个越来越常见的模式:先攻破互联网暴露的边界设备,再利用 Linux 内核漏洞完成提权,最后横向进入企业内部系统。
近期安全事件显示,攻击者会先入侵暴露在公网的 F5 BIG‑IP Access Policy Manager(APM) 设备,然后利用 Linux 内核提权漏洞获取 root 权限,并进一步渗透到企业内部服务,例如 Confluence 文档系统或身份认证平台。
这种攻击链的核心逻辑很简单:边界突破 → 权限升级 → 内网横向移动。
第一步:利用 F5 BIG‑IP 漏洞获得初始访问
许多企业把 F5 BIG‑IP APM 部署在互联网边界,用于提供 VPN、访问控制或统一认证代理,因此它天然是高价值目标。
漏洞 CVE‑2025‑53521 被确认可在某些配置下实现未认证远程代码执行(RCE):当虚拟服务器上启用了 APM 访问策略时,恶意流量即可触发漏洞并执行任意命令。
该漏洞已经被加入已知被利用漏洞列表,并在真实攻击中出现过。
一旦攻击成功,攻击者通常会:
- 部署 WebShell
- 打开持久化 shell
- 在设备上建立远程控制会话
此时,这台边界设备就变成了攻击者深入企业网络的“跳板”。
第二步:利用 Linux 内核漏洞实现权限升级
即使攻击者在设备上获得了代码执行权限,最初往往仍然处于受限环境或低权限账户。
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
人们还问
“攻击者如何利用 F5 BIG‑IP 与 Linux 内核漏洞链入侵企业网络”的简短答案是什么?
攻击者可利用 F5 BIG‑IP APM 的远程代码执行漏洞(CVE‑2025‑53521)获得初始访问,然后利用 Linux 内核提权漏洞 Copy Fail 或 Dirty Frag 获取 root 权限。
首先要验证的关键点是什么?
攻击者可利用 F5 BIG‑IP APM 的远程代码执行漏洞(CVE‑2025‑53521)获得初始访问,然后利用 Linux 内核提权漏洞 Copy Fail 或 Dirty Frag 获取 root 权限。 Copy Fail 与 Dirty Frag 本身无法远程利用,但一旦攻击者在设备上获得低权限访问,就可以将其升级为完整系统控制权。
接下来在实践中我应该做什么?
企业应优先修补 BIG‑IP 与 Linux 内核漏洞、限制边界设备 shell 访问、禁用高风险内核模块并监控提权与横向移动行为。
来源
- microsoft.comFrom edge appliance to enterprise compromise: Multi-stage Linux ...
- microsoft.comHow Storm-2949 turned a compromised identity into a cloud-wide ...
- ncsc.gov.ukVulnerability affecting F5 BIG-IP APM | National Cyber Security Centre
- hadrian.ioF5 BIG-IP APM Remote Code Execution: CVE-2025-53521 ...
- cert.europa.euHigh Vulnerability in the Linux Kernel ("Copy Fail") - CERT-EU
Loading comments...
Comments
0 comments