Microsoftのディフェンダーセキュリティリサーチチームは、高度なマルチステージの侵入キャンペーンを記録しました。この攻撃では、脅威アクターがインターネットに公開されたF5 BIG-IPエッジアプライアンスを入口として悪用し、広範囲にわたるアイデンティティを標的とした攻撃を展開して、最終的にActive Directoryへの侵害に至りました。
この事例は、危険かつ加速しつつあるパターンを浮き彫りにしています。セキュリティの境界として従来展開されてきたファイアウォール、VPNゲートウェイ、およびロードバランサーデバイスが、初期アクセスベクターとして悪用されるケースが増加しています。
脅威アクターは、Azure上でホストされたF5 BIG-IP Virtual Edition(VE)バージョン15.1.201000(Azure ARMテンプレートおよびTerraformモジュール経由でよくプロビジョニングされるビルド)を起点として、内部Linuxホストへのアクセスをパスワード認証で確立しました。
このバージョンは2024年12月31日にサポート終了(EOL)を迎えており、悪用当時はパッチ未適用かつサポート対象外の状態でした。
エッジアプライアンスは外部に露出しており、監視が手薄で、エンタープライズ環境内での信頼度が高いため、この侵害により攻撃者は保存された認証情報、証明書、アイデンティティ統合情報をすべて持った状態で、持続的かつ低可視性の足がかりを確保しました。これらはすべて、単一のエンドポイント検出がトリガーされる前に行われました。
sudo権限を持つ特権アカウントを使用してSSH経由で認証された後、Microsoftによると、脅威アクターは明示的な永続化メカニズムを展開することなく、作戦全体を通じてハンズオンキーボードアクセスを維持しました。
攻撃者は直ちに積極的な内部偵察を実施しました。
偵察により、未パッチのリモートコード実行脆弱性を抱えた内部のAtlassian Confluenceサーバーが発見されました。Confluenceはインターネットに公開されていませんでしたが、攻撃者が内部ネットワークに足がかりを得た時点で到達可能となりました。
リアルタイム保護(RTP)がConfluenceホストへの直接ペイロード配信を繰り返しブロックしたため、攻撃者は戦術を切り替え、最初のLinuxホスト上にPythonのftplibベースの匿名FTPサーバーを立ち上げ、curlを使ってペイロードをディスクベースの検出を回避するために設計された揮発性のインメモリパスである/dev/shmへ転送しました。
Confluenceを侵害した後、攻撃者はserver.xmlおよびconfluence.cfg.xml設定ファイルから認証情報を収集し、即座にそれらをWindowsドメインインフラに対して武器化しました。さらに、ドメインコントローラーを標的としたDNS操作ツールとPetitPotamコアーションを使用したnetexecによるKerberosリレー攻撃およびCVE-2025-33073の悪用へとエスカレーションしました。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンクを防ぐため、意図的に無害化されています(例:[.])。再有効化はMISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
Microsoftは、F5 BIG-IPまたはハイブリッドインフラを運用している組織に対して、以下の防御策を推奨しています。
Microsoftが指摘するように、この侵入は攻撃者に高度な技術が必ずしも必要ではなく、ハイブリッド環境全体にわたる執拗さと、パッチ適用および監視の抜け穴があれば十分であることを示しています。
翻訳元: https://cyberpress.org/exploit-f5-big-ip-ssh-access/