Hackers Exploit F5 BIG-IP Appliance to Gain SSH Access and Pivot Into Enterprise Linux Networks
2026/05/23 CyberSecurityNews — インターネットに公開された F5 BIG-IP エッジ・アプライアンスを侵入口とし、最終的に Active Directory へアクセスする、ID を標的とした大規模な多段階の侵入攻撃が確認されている。この攻撃が示すのは、従来のセキュリティ境界として展開されていたファイアウォール/VPN ゲートウェイ/ロードバランサ装置が、初期侵入ポイントとして悪用される傾向の高まりであると、Microsoft Defender Security Research は指摘している。
この問題の背景にあるのは、エンタープライズ内部では高い信頼を持つエッジ・アプライアンスが、外部に公開されながら、十分に監視されていないという問題である。
たとえ単一の侵害であっても、攻撃者が手にするのは、長期間にわたる維持が可能であり、防御側からの可視性の低い足場である。そこから、エンタープライズ内に保存されている、認証情報/証明書/ID 統合機能へのアクセスが可能になる。
サポートが終了した F5 BIG-IP への初期侵入
最初に、この攻撃者は、F5 BIG-IP ロードバランサとして用いられるネットワーク・デバイスから、Linux ホストへの SSH アクセスを確立した。デバイス・インベントリの調査により、その侵入元は Azure 上で稼働する BIG-IP Virtual Edition アプライアンス (バージョン 15.1.201000) であることが判明している。このビルドは、Azure ARM テンプレートや Terraform モジュールで一般的に使用されてきたが、2024年12月31日にサポート終了 (EOL) となっている。
この攻撃者は、特権アカウントを用いて SSH 経由で Linux サーバ に対して認証し、明示的な永続化メカニズムを導入することなく、オペレーション全体を通じてハンズオン・キーボード操作を維持した。それが浮き彫りにするのは、sudo 権限を持つ過剰特権アカウントの危険性である。
侵入後の攻撃者は、積極的な偵察を実施し、シェルスクリプトを介して内部サブネット全体で水平方向 Nmap スキャンを実行した。こうして、稼働ホストを列挙した後に、垂直スキャンにより公開サービスを特定した。
さらに攻撃者は gowitness を使用し、SOCKS5 プロキシ経由で HTTP/HTTPS サービスのスクリーンショット取得およびフィンガープリントを実施した。その他にも、Windows サーバが検出された場合には、enum4linux/netexec/smbclient/rpcclient/timeroast/ldapsearch/kerbrute/responder などの既知のオープンソースツールを使用し、NTLM ベースのラテラル・ムーブメントを試みたが、初期段階では失敗した。
その失敗をカバーするため攻撃者は、C2 サーバ 206.189.27[.]39 から wget を用いてカスタム・スキャン・ツールを取得したが、Microsoft により HackTool:Linux/MalPack.B として検知された。このツールは、Web アプリケーションおよびモバイルサービス (Firebase/GCM を含む) に対する、アクセス制御の列挙を目的として使用された。
一連の偵察の結果、パッチ未適用の内部 Atlassian Confluence サーバを発見した攻撃者は、それを悪用することでリモート・コード実行を達成した。この Confluence はインターネットに非公開であったが、内部での足場を確立した後に到達が可能になった。
リアルタイムの保護が機能したことで、ペイロードの投入が阻止された攻撃者は、その戦術を変更した。ネットワーク・レベルのブロックを想定した上で、Python の ftplib を介して Linux ステージング・ホスト上に匿名 FTP サーバを構築し、curl を用いて “/dev/shm” にツールを転送した。
Confluence を侵害した攻撃者は、server.xml や confluence.cfg.xml などの設定ファイルから認証情報を抽出し、それらを Windows 環境への攻撃に悪用したことで、Kerberos リレー攻撃および CVE-2025-33073 の悪用へと発展した。攻撃者は PetitPotam 強制および DNS 操作ツールを組み合わせ、netexec を介してドメイン・コントローラを標的にした。
この侵入インシデントについて Microsoft が指摘するのは、境界に位置する Web コンポーネントの単一の RCE が、異なるアプリケーションでの ID 侵害へ連鎖する点である。それは、プラットフォームおよび信頼境界を横断する攻撃であり、ハイブリッド環境全体にパッチ適用や監視不備が存在する場合に、攻撃者は高度な技術を必要とせずに、持続的な活動のみで侵害を拡大できるとしている。
なお、この活動を検知した Microsoft Defender for Endpoint が、リアルタイム保護が有効化されていた Confluence ホスト上で ELF ペイロードをブロックしたことで、さらなる被害は食い止められた。
対応策
Microsoft は以下を推奨している。
- インターネットに公開されたエッジ・アプライアンスを Tier-0 資産として扱い、厳格なライフサイクル管理およびパッチ管理を実施する。
- 内部 Web アプリケーションについても、外部公開サービスと同等の緊急度でハードニングを実施する。
- ID 強化を行い、可能な限り NTLM を無効化する。
- SMB および LDAP 署名を強制する。
- Extended Protection for Authentication を有効化し、リレー攻撃を抑止する。
主な IOC には、C2 アドレス “206.189.27[.]39″/カスタム・スキャナ/Kerbrute/gowitness/NTLMリレー・スクリプトに関連するファイル・ハッシュが含まれる。その他にも、F5 BIG-IP デバイスから発生する SSH ログインや、Confluence プロセスからの認証情報アクセスを検出するための高度なハンティング・クエリも、Microsoft は公開している。
侵害指標 (IOC)
| Indicator | Type | Description |
| 4a927d031919fd6bd88d3c8a917214b54bca00f8ddc80ecfe4d230663dda7465 | File hash | Custom scanning tool |
| b4592cea69699b2c0737d4e19cff7dca17b5baf5a238cd6da950a37e9986f216 | File hash | Shell script to automate network scanning using Nmap |
| 710a9d2653c8bd3689e451778dab9daec0de4c4c75f900788ccf23ef254b122a | File hash | Kerbrute tool |
| 57b3188e24782c27fdf72493ce599537efd3187d03b80f8afe733c72d68c5517 | File hash | gowitness scanner |
| bdd5da81ac34d9faa2a5118d4ed8f492239734be02146cd24a0e34270a48a455 | File hash | NTLM relay Python script |
| 206.189.27[.]39 | IPv4 address | C2 server |
注記:IP アドレスおよびドメインについては、誤って解決またはハイパーリンク化されることを防ぐため、意図的に無効化表記 (例:[.]) としているが、その再有効化は MISP/VirusTotal/SIEM などの管理された脅威インテリジェンス環境でのみ実施すべきである。
訳者後書:この攻撃の原因は、外部との境界を守るはずのデバイスがサポート終了 (EOL) を迎えていたことや、内部システムのパッチ適用が遅れていたことにあります。具体的には、サポートが切れた F5 BIG-IP の脆弱な状態が放置されていたことで、攻撃者に対して最初の足場を許しました。さらに、内部で稼働していた Atlassian Confluence の未パッチの脆弱性が悪用され、そこから認証情報が盗まれたことで、最終的には Kerberos リレー攻撃および CVE-2025-33073 の悪用へと発展しました。ご利用のチームは、ご注意ください。よろしければ、F5 BIG-IP での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.