答案已發布3 週前Last edited 4 天前20 來源

黑客串連 F5 BIG‑IP 同 Linux 權限提升漏洞　由邊界設備滲透企業內網

攻擊者先利用 F5 BIG‑IP APM 的遠端程式碼執行漏洞取得入口，再用 Linux「Copy Fail」或「Dirty Frag」漏洞將低權限存取升級為 root。 Copy Fail（CVE‑2026‑31431）同 Dirty Frag（CVE‑2026‑43284）本身唔可以遠端攻擊，但一旦入侵者已經取得系統存取，就可以用嚟升權。

使用 Studio Global AI 搜尋並查核事實瀏覽更多熱門頁面

1.5M0

Illustration of attackers exploiting an F5 BIG‑IP edge appliance and pivoting into internal enterprise systems — How are hackers chaining vulnerabilities in internet‑facing F5 BIG‑IP appliances with Linux privilege‑escalation bugs like CopyFail (CVE‑202Modern enterprise intrusions often begin at exposed edge appliances before escalating privileges and pivoting deeper into internal systems.
AI 提示
Create a landscape editorial hero image for this Studio Global article: How are hackers chaining vulnerabilities in internet‑facing F5 BIG‑IP appliances with Linux privilege‑escalation bugs like CopyFail (CVE‑202. Article summary: Hackers are reportedly using a two-step chain: first they gain initial access on exposed F5 BIG‑IP APM devices through a remotely exploitable flaw such as CVE‑2025‑53521, then they use Linux local privilege-escalation bu. Topic tags: general, government, education, documentation, general web. Reference image context from search candidates: Reference image 1: visual subject "A local privilege escalation (LPE) vulnerability, dubbed Copy Fail (CVE-2026-31431), has been identified in the Linux kernel's `authencesn` cryptographic template. This logic flaw" source context "Weekly Threat Bulletin – May 6th, 2026 | F5 Labs" Reference image 2: visual subject "# CVE-2026
openai.com

企業網絡入侵手法近年出現一個明顯趨勢：先攻破對外的安全設備，再利用 Linux 系統漏洞升權，最後橫向移動到內部核心系統。安全研究顯示，攻擊者會先入侵公開在互聯網上的 F5 BIG‑IP Access Policy Manager (APM)，之後再利用 Linux kernel 的本地權限提升漏洞，例如 Copy Fail 或 Dirty Frag，取得 root 權限並深入企業網絡。

呢種多階段攻擊模式其實非常有效：邊界設備通常直接面向互聯網，但同時又被企業內部系統高度信任，一旦被攻破，後果往往比普通伺服器更嚴重。

第一步：利用 F5 BIG‑IP 漏洞取得入口

好多企業會將 F5 BIG‑IP APM 直接暴露喺互聯網，用作 VPN、身份驗證或者存取代理。呢類設備自然成為黑客嘅熱門目標。

其中一個高危漏洞 CVE‑2025‑53521，如果虛擬伺服器設定咗 APM access policy，攻擊者就可以透過特製網絡流量達到未經身份驗證的遠端程式碼執行（RCE）。

成功利用之後，攻擊者可以：

在設備上執行任意指令
安裝 web shell
建立持久化 shell 存取

一旦成功控制呢部邊界設備，就等於喺企業網絡入口位置建立咗一個跳板。

第二步：利用 Linux Kernel 漏洞升級到 Root

即使攻擊者可以喺設備上執行程式，最初通常只係受限制或低權限帳號。為咗完全控制系統，他們會利用 Linux kernel 本地權限提升漏洞。

Copy Fail（CVE‑2026‑31431）

「Copy Fail」係 2026 年 4 月公開嘅 Linux kernel 漏洞，影響自 2017 年起構建的大量 kernel 版本。漏洞位於 kernel 用戶空間加密介面 AF_ALG 嘅 algif_aead 模組。

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

使用 Studio Global AI 搜尋並查核事實

人們還問