Hackers nutzen F5 BIG-IP-Schwachstelle für SSH-Zugriff und Eindringen in Unternehmensnetzwerke

Erster Zugang über eine F5 BIG-IP-Lastenausgleichs-Appliance am Ende ihres Lebenszyklus: Der Angreifer richtete SSH-Zugriff auf den ersten Linux-Host über ein Netzwerkgerät ein, das als F5 BIG-IP-Lastenausgleichsgerät identifiziert wurde.

Das Gerätelager verortete die Quelle auf einer Azure gehosteten BIG-IP Virtual Edition-Appliance, Version 15.1.201000, eine Build-Variante, die üblicherweise über Azure ARM-Vorlagen und Terraform-Module bereitgestellt wird und am 31. Dezember 2024 das Ende ihres Lebenszyklus erreichte.

Der Angreifer authentisierte sich über SSH auf dem Linux-Server mit einem privilegierten Konto und behielt während des gesamten Vorfalls die direkte Zugriffsmöglichkeit am Terminal, ohne explizite Persistenzmechanismen einzurichten, was die Gefährdung durch überprivilegierte Identitäten mit sudo-Rechten verdeutlicht.

Technischer Hintergrund

Nach dem Zugriff auf den Host führte der Angreifer aggressive Aufklärungsmaßnahmen durch. Mittels eines Shell-Skripts wurden horizontale Nmap-Scans über interne Subnetze ausgeführt, um lebende Hosts zu ermitteln, gefolgt Identifizierung offener Dienste.

Anschließend wurde das Tool gowitness eingesetzt, um Screenshots zu erfassen und exponierte HTTP/HTTPS-Dienste über einen SOCKS5-Proxy zu fingerprinten.

An den Standorten, an denen Windows-Server entdeckt wurden, versuchte der Akteur eine laterale Bewegung unter Nutzung Open-Source-Toolkit, das enum4linux, netexec, smbclient, rpcclient, timeroast, ldapsearch, kerbrute und responder umfasste; diese ersten Versuche schlugen jedoch fehl.

Technischer Hintergrund

Anschließend zog der Akteur ein benutzerdefiniertes Scanning-Tool vom C2-Server 206.189.27[.]39 über wget herunter, das:Linux/MalPack.B gekennzeichnet wurde. Dieses Tool untersuchte die Webanwendungen und mobilen Dienste der Organisation (einschließlich Firebase und GCM), um Zugriffskontrollen aufzudecken.

Die Aufklärung ergab einen internen Atlassian Confluence-Server mit ungepatchten Schwachstellen, die der Angreifer zur Ausführung Confluence nicht internetexponiert, wurde jedoch zugänglich, sobald der Angreifer eine interne Basisposition erlangt hatte.

Da der Echtzeitschutz wiederholte Payload-Abwürfe blockierte, wechselte der Angreifer die Taktik: Unter der Annahme einer Netzwerkebene-Blockierung startete er auf dem Linux-Staging-Host einen anonymen FTP-Server mit Python's ftplib und übertrug das Tool mittels curl in /dev/shm.

Technischer Hintergrund

Nach der Kompromittierung Zugangsdaten aus Konfigurationsdateien, einschließlich server.xml und confluence.cfg.xml, und setzte diese anschließend gegen die Windows-Infrastruktur ein.

Dies eskalierte zu Kerberos-Relay-Angriffen und der Ausnutzung 2025-33073, wobei netexec mit PetitPotam-Zwang und DNS-Manipulations-Tools eingesetzt wurde, um einen Domain-Controller zu angreifen.

Microsoft weist darauf hin, dass dieser Vorfall zeigt, wie sich eine einzelne Remote-Code-Execution (RCE) in einem webseitigen Komponente am Netzwerkrand in eine Identitätskompromittierung in einer völlig separaten Anwendung ausweiten kann, dabei Plattform- und Vertrauensebenen überschreitend, und dass Angreifer nicht unbedingt hochkomplex sein müssen, sondern lediglich persistent, wo Lücken in der Patchung und Überwachung in einem hybriden Umfeld bestehen.

Technik und Auswirkungen

Microsoft Defender for Endpoint hat die Aktivität erkannt und die ELF-Payload auf dem einzigen Confluence-Host blockiert, auf dem Echtzeitschutz aktiviert war.

Das Unternehmen empfiehlt, internetexponierte Edge-Geräte als Tier-0-Assets mit strengen Lebenszyklus- und Patch-Governance-Richtlinien zu behandeln, interne Webanwendungen mit derselben Dringlichkeit wie externe Dienste zu härten, Identitäts-Härtung anzuwenden und NTLM dort, wo möglich, zu deaktivieren, SMB- und LDAP-Signierung durchzusetzen sowie Extended Protection for Authentication zu aktivieren, um Relay-Angriffe zu erschweren.

Zu den wichtigsten Indikatoren gehören die C2-Adresse 206.189.27[.]39 sowie Dateihashwerte für den benutzerdefinierten Scanner, Kerbrute, gowitness und ein NTLM-Relay-Skript.

Technischer Hintergrund

Microsoft hat zudem erweiterte Abfragebefehle für Advanced Hunting veröffentlicht, um SSH-Anmeldungen von F5 BIG-IP-Geräten und Credential-Zugriffe durch Confluence-Prozesse aufzudecken.

Indikatoren für Kompromittierungen (IOC) 4a927d031919fd6bd88d3c8a917214b54bca00f8ddc80ecfe4d230663dda7465: Typ: Dateihash; Beschreibung: Benutzerdefinertes Scanning-Tool. b4592cea69699b2c0737d4e19cff7dca17b5baf5a238cd6da950a37e9986f216: Typ: Dateihash; Beschreibung: Shell-Skript zur Automatisierung.

710a9d2653c8bd3689e451778dab9daec0de4c4c75f900788ccf23ef254b122a: Typ: Dateihash; Beschreibung: Kerbrute-Tool. 57b3188e24782c27fdf72493ce599537efd3187d03b80f8afe733c72d68c5517: Typ: Dateihash; Beschreibung: gowitness-Scanner. bdd5da81ac34d9faa2a5118d4ed8f492239734be02146cd24a0e34270a48a455: Typ: Dateihash; Beschreibung: Python-Skript für NTLM-Relay.

206.189.27[.]39: Typ: IPv4-Adresse; Beschreibung: C2-Server.