F5 Is Misleading the Market – The Breach Is Nowhere Near Contained
7 months ago
- #Investment Risk
- #Corporate Governance
- #Cybersecurity
- F5被指控在重大漏洞 containment 问题上误导客户、投资者和监管机构。
- 该漏洞涉及国家级攻击者,其拥有对F5核心基础设施(包括源代码和凭证)长达一年以上的无限制访问权限。
- F5的应对措施受到批评,被指优先考虑表面形象而非实质性的取证调查和威胁遏制。
- 公司依赖第三方机构(IOActive和NCC Group)进行代码审查的做法受到质疑,认为其缺乏应对国家级威胁的能力。
- 此次漏洞已危及F5的BIG-IP技术,给包括联邦机构在内的客户带来风险。
- 预计将面临法律风险,受影响客户可能发起集体诉讼。
- 报告指出F5历史上的安全态势存在疏忽,IT治理和合规方面存在系统性缺陷。
- 公司事后提出的建议被认定不充分,仅关注次要更新而未解决核心安全问题。
- CISA已发布紧急指令,强调漏洞的严重性,这与F5轻描淡写的说法形成对比。
- 报告结论认为F5产品无法被视为能抵御复杂威胁,且存在未公开漏洞的持续风险。