ST

Live Redaktion

SvyTech

TechnologieHardwareForschungArchivSuche
Redaktion
Suche
TechnologieHardwareForschungArchivSuche
ST

Redaktionelles Netzwerk

SvyTech

Kuratierte Meldungen zu KI, Hardware, Energie und Forschung werden redaktionell geprueft und in einem publizierbaren Nachrichtenfluss aufbereitet.

LivetickerSEO FokusKuratierte Auswahl

Navigation

TechnologieHardwareForschungArchivSuche

Vertrauen

Ueber unsRichtlinienKontaktWerbung

Auf dem Laufenden bleiben

Bis ein echter Newsletter angebunden ist, erreichst du alle neuen Inhalte direkt ueber Archiv, Suche und den RSS-Feed.

Zum ArchivThemen durchsuchenRSS abonnieren

(c) 2026 SvyTech.

ImpressumDatenschutzRSSads.txt
Startseite/Technologie
Cyber Security NewsTechnologie

Hackers nutzen F5 BIG-IP-Schwachstelle für SSH-Zugriff und Eindringen in Unternehmensnetzwerke

Ein mehrstufiger Intrusionsangriff, bei dem ein Angreifer eine internetexponierte F5 BIG-IP-Edge-Appliance als Einstiegspunkt für einen weitreichenden, identitätszentrierten Angriff nutzte, der schließlich den Zugriff

2. Juni 2026Guru BaranLive Redaktion
Hackers nutzen F5 BIG-IP-Schwachstelle für SSH-Zugriff und Eindringen in Unternehmensnetzwerke

Kurzfassung

Warum das wichtig ist

Cyber Security NewsTechnologie
  • Ein mehrstufiger Intrusionsangriff, bei dem ein Angreifer eine internetexponierte F5 BIG-IP-Edge-Appliance als Einstiegspunkt für einen weitreichenden, identitätszentrierten Angriff nutzte, der schließlich den Zugriff
  • Laut der Sicherheitsforschung Angriff einen wachsenden Trend wider, bei dem Firewalls, VPN-Gateways und Lastenausgleichsgeräte, die traditionell als Sicherheitsgrenzen eingesetzt werden, zu ersten Zugangspunkten umgenutzt werden.
  • Da Edge-Appliances extern exponiert, nur schwach überwacht und innerhalb ürdig eingestuft werden, kann bereits eine einzige Kompromittierung Angreifern einen langlebigen, schwer sichtbaren立足punkt sowie gespeicherte Anmeldeinformationen, Zertifikate und Identitätsintegrationen verschaffen.

SvyTech-Check

Redaktionelle Einordnung

Eigene Kontextschicht

Kernpunkt

Ein mehrstufiger Intrusionsangriff, bei dem ein Angreifer eine internetexponierte F5 BIG-IP-Edge-Appliance als Einstiegspunkt für einen weitreichenden, identitätszentrierten Angriff nutzte, der schließlich den...

Warum relevant

Erster Zugang über eine F5 BIG-IP-Lastenausgleichs-Appliance am Ende ihres Lebenszyklus: Der Angreifer richtete SSH-Zugriff auf den ersten Linux-Host über ein Netzwerkgerät ein, das als F5...

Einordnung

SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.

Erster Zugang über eine F5 BIG-IP-Lastenausgleichs-Appliance am Ende ihres Lebenszyklus: Der Angreifer richtete SSH-Zugriff auf den ersten Linux-Host über ein Netzwerkgerät ein, das als F5 BIG-IP-Lastenausgleichsgerät identifiziert wurde.

Das Gerätelager verortete die Quelle auf einer Azure gehosteten BIG-IP Virtual Edition-Appliance, Version 15.1.201000, eine Build-Variante, die üblicherweise über Azure ARM-Vorlagen und Terraform-Module bereitgestellt wird und am 31. Dezember 2024 das Ende ihres Lebenszyklus erreichte.

Der Angreifer authentisierte sich über SSH auf dem Linux-Server mit einem privilegierten Konto und behielt während des gesamten Vorfalls die direkte Zugriffsmöglichkeit am Terminal, ohne explizite Persistenzmechanismen einzurichten, was die Gefährdung durch überprivilegierte Identitäten mit sudo-Rechten verdeutlicht.

Technischer Hintergrund

Nach dem Zugriff auf den Host führte der Angreifer aggressive Aufklärungsmaßnahmen durch. Mittels eines Shell-Skripts wurden horizontale Nmap-Scans über interne Subnetze ausgeführt, um lebende Hosts zu ermitteln, gefolgt Identifizierung offener Dienste.

Quellenprofil

Quelle und redaktionelle Angaben

Quelle
Cyber Security News
Canonical
https://cybersecuritynews.com/f5-big-ip-exploited-for-ssh-access/
Quell-URL
https://cybersecuritynews.com/f5-big-ip-exploited-for-ssh-access/

Aehnliche Inhalte

Verwandte Themen und interne Verlinkung

Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.

Kimi K3 tritt mit 2,8 Billionen Parametern auf den Markt und übertrifft das Modell Claude Fable 5.
AnalyseTechnologie

Kimi K3 tritt mit 2,8 Billionen Parametern auf den Markt und übertrifft das Modell Claude Fable 5.

Moonshot AI hat das weltweit erste offene KI-Modell der 3T-Klasse, Kimi K3 mit 2,8 Billionen Parametern, vorgestellt, das in Benchmarks für Codierung und Frontend-Entwicklung die Modelle übertrifft. Das System nutzt eine effiziente Mixture-of-Experts-Architektur und wurde speziell für den Einsatz auf einheimischer Hardware sowie unter US-Exportbeschränkungen optimiert, wobei die Kosten für nicht zwischengespeicherte Eingaben im Vergleich zur Vorgängergeneration deutlich gestiegen sind.

17.07.2026

Live Redaktion

Anschließend wurde das Tool gowitness eingesetzt, um Screenshots zu erfassen und exponierte HTTP/HTTPS-Dienste über einen SOCKS5-Proxy zu fingerprinten.

An den Standorten, an denen Windows-Server entdeckt wurden, versuchte der Akteur eine laterale Bewegung unter Nutzung Open-Source-Toolkit, das enum4linux, netexec, smbclient, rpcclient, timeroast, ldapsearch, kerbrute und responder umfasste; diese ersten Versuche schlugen jedoch fehl.

Technischer Hintergrund

Anschließend zog der Akteur ein benutzerdefiniertes Scanning-Tool vom C2-Server 206.189.27[.]39 über wget herunter, das:Linux/MalPack.B gekennzeichnet wurde. Dieses Tool untersuchte die Webanwendungen und mobilen Dienste der Organisation (einschließlich Firebase und GCM), um Zugriffskontrollen aufzudecken.

Die Aufklärung ergab einen internen Atlassian Confluence-Server mit ungepatchten Schwachstellen, die der Angreifer zur Ausführung Confluence nicht internetexponiert, wurde jedoch zugänglich, sobald der Angreifer eine interne Basisposition erlangt hatte.

Da der Echtzeitschutz wiederholte Payload-Abwürfe blockierte, wechselte der Angreifer die Taktik: Unter der Annahme einer Netzwerkebene-Blockierung startete er auf dem Linux-Staging-Host einen anonymen FTP-Server mit Python's ftplib und übertrug das Tool mittels curl in /dev/shm.

Hackers nutzen F5 BIG-IP-Schwachstelle für SSH-Zugriff und Eindringen in Unternehmensnetzwerke
Hackers nutzen F5 BIG-IP-Schwachstelle für SSH-Zugriff und Eindringen in Unternehmensnetzwerke

Technischer Hintergrund

Nach der Kompromittierung Zugangsdaten aus Konfigurationsdateien, einschließlich server.xml und confluence.cfg.xml, und setzte diese anschließend gegen die Windows-Infrastruktur ein.

Dies eskalierte zu Kerberos-Relay-Angriffen und der Ausnutzung 2025-33073, wobei netexec mit PetitPotam-Zwang und DNS-Manipulations-Tools eingesetzt wurde, um einen Domain-Controller zu angreifen.

Microsoft weist darauf hin, dass dieser Vorfall zeigt, wie sich eine einzelne Remote-Code-Execution (RCE) in einem webseitigen Komponente am Netzwerkrand in eine Identitätskompromittierung in einer völlig separaten Anwendung ausweiten kann, dabei Plattform- und Vertrauensebenen überschreitend, und dass Angreifer nicht unbedingt hochkomplex sein müssen, sondern lediglich persistent, wo Lücken in der Patchung und Überwachung in einem hybriden Umfeld bestehen.

Technik und Auswirkungen

Microsoft Defender for Endpoint hat die Aktivität erkannt und die ELF-Payload auf dem einzigen Confluence-Host blockiert, auf dem Echtzeitschutz aktiviert war.

Das Unternehmen empfiehlt, internetexponierte Edge-Geräte als Tier-0-Assets mit strengen Lebenszyklus- und Patch-Governance-Richtlinien zu behandeln, interne Webanwendungen mit derselben Dringlichkeit wie externe Dienste zu härten, Identitäts-Härtung anzuwenden und NTLM dort, wo möglich, zu deaktivieren, SMB- und LDAP-Signierung durchzusetzen sowie Extended Protection for Authentication zu aktivieren, um Relay-Angriffe zu erschweren.

Zu den wichtigsten Indikatoren gehören die C2-Adresse 206.189.27[.]39 sowie Dateihashwerte für den benutzerdefinierten Scanner, Kerbrute, gowitness und ein NTLM-Relay-Skript.

Technischer Hintergrund

Microsoft hat zudem erweiterte Abfragebefehle für Advanced Hunting veröffentlicht, um SSH-Anmeldungen von F5 BIG-IP-Geräten und Credential-Zugriffe durch Confluence-Prozesse aufzudecken.

Indikatoren für Kompromittierungen (IOC) 4a927d031919fd6bd88d3c8a917214b54bca00f8ddc80ecfe4d230663dda7465: Typ: Dateihash; Beschreibung: Benutzerdefinertes Scanning-Tool. b4592cea69699b2c0737d4e19cff7dca17b5baf5a238cd6da950a37e9986f216: Typ: Dateihash; Beschreibung: Shell-Skript zur Automatisierung.

710a9d2653c8bd3689e451778dab9daec0de4c4c75f900788ccf23ef254b122a: Typ: Dateihash; Beschreibung: Kerbrute-Tool. 57b3188e24782c27fdf72493ce599537efd3187d03b80f8afe733c72d68c5517: Typ: Dateihash; Beschreibung: gowitness-Scanner. bdd5da81ac34d9faa2a5118d4ed8f492239734be02146cd24a0e34270a48a455: Typ: Dateihash; Beschreibung: Python-Skript für NTLM-Relay.

206.189.27[.]39: Typ: IPv4-Adresse; Beschreibung: C2-Server.

Quelllink

Originalquelle: Cyber Security News

Originalartikel oeffnen->

Thema weiterverfolgen

Technologie ArchivMehr von Cyber Security News

Interne Verlinkung

Im Kontext weiterlesen

Diese weiterfuehrenden Links verbinden das Thema mit relevanten Archivseiten, Schlagwoertern und inhaltlich nahen Artikeln.

Technologie Archiv

Weitere Meldungen aus derselben Hauptkategorie.

Mehr von Cyber Security News

Alle veroeffentlichten Inhalte derselben Quelle im Archiv.

Kimi K3 tritt mit 2,8 Billionen Parametern auf den Markt und übertrifft das Modell Claude Fable 5.

Redaktionell verwandter Beitrag aus dem selben Themenumfeld.

Apple und OpenAI eskalieren Rechtsstreit: Warnung vor Datenlöschung an ehemalige Mitarbeiter

Redaktionell verwandter Beitrag aus dem selben Themenumfeld.

Apple und OpenAI eskalieren Rechtsstreit: Warnung vor Datenlöschung an ehemalige Mitarbeiter
WarnungTechnologie

Apple und OpenAI eskalieren Rechtsstreit: Warnung vor Datenlöschung an ehemalige Mitarbeiter

Apple hat etwa 40 ehemalige Mitarbeiter, die zu OpenAI gewechselt sind, offiziell angewiesen, keine firmeninternen Daten und Kommunikationsaufzeichnungen zu löschen, um Beweismittel im laufenden Rechtsstreit zu erhalten. Diese Maßnahme ist Teil der umfassenden Klage, die Apple Anfang Juli vor einem Bundesgericht in Kalifornien gegen OpenAI eingereicht hat, da das Unternehmen dem Konkurrenten systematisch den Transfer eigener Mitarbeiter vorwirft, um Geschäftsgeheimnisse zu erlangen.

17.07.2026

Live Redaktion
Indiens erster Wasserstoff-Passagierzug startet mit den NaMo Green Rail-Linien
AnalyseTechnologie

Indiens erster Wasserstoff-Passagierzug startet mit den NaMo Green Rail-Linien

Indien hat den ersten vollständig inländisch entwickelten und hergestellten Passagierzug mit Wasserstoff-Brennstoffzellen, die „NaMo Green Rail", im Bundesstaat Haryana in Betrieb genommen, um seine Netto-Null-Kohlenstoffziele bis 2070 zu erreichen. Der aus zehn Wagen bestehende Zug mit einer Kapazität 2.638 Personen wird auf einer 89 Kilometer langen Pilotstrecke zwischen Jind und Sonipat mit grünem Wasserstoff betrieben, der vor Ort durch Elektrolyse erzeugt wird.

17.07.2026

Live Redaktion
Künstliche Intelligenz als Schauplatz des globalen Machtkampfes: Xi Jinping und Trump stehen sich gegenüber
AnalyseTechnologie

Künstliche Intelligenz als Schauplatz des globalen Machtkampfes: Xi Jinping und Trump stehen sich gegenüber

Auf der im Jahr 2026 in Shanghai stattfindenden Weltkonferenz für Künstliche Intelligenz (WAIC) positioniert sich China unter Staatspräsident Xi Jinping als Anführer des Globalen Südens und gründete mit 29 Ländern die Weltorganisation für künstliche Intelligenz-Zusammenarbeit (WAICO), um eine Alternative zu US-Technologiebündnissen zu schaffen. Während Peking den chinesischen KI-Markt mit einem prognostizierten Volumen von 1,2 Billionen Yuan im Jahr 2025 und der Vorstellung des Huawei-Systems Atlas 950 SuperPoD als Zeichen der technologischen Unabhängigkeit vorstellte, eskalierte die geopolitische Spannung durch US-Präsident Donald Trumps Vorwürfe bezüglich chinesischer Wahlmanipulation und die Ankündigung verschärfter Zölle.

17.07.2026

Live Redaktion