Napadači koriste F5 BIG-IP uređaj da provetrinu mrežu preduzeća i dođu do Active Directory servera
Microsoft je objavio analizu napada gde su napadači iskoristili zastarelu F5 BIG-IP instancu za pristup, skene i lateralno kretanje do Windows servera.
Šta se desilo?
Istraživači Microsoftove odbrambene tehnologije su otkrili sofisticiranu upadu u korporativnu mrežu gde su napadači iskoristili zastarelu verziju F5 BIG-IP opterećenja kao ulaznu tačku. Nakon što su stekli pristup preko SSH-a, napadači su sproveli detaljnu pretragu interne mreže, pronašli nezaštićeni Confluence server i eksploatisali njegove ranjivosti da bi se bočno kretali do Windows infrastrukture i napada na kontroler domena.
Koga pogađa?
Napada pogađa velika preduzeća sa hibridnom IT infrastrukturom, posebno one koje koriste F5 BIG-IP uređaje kao graničnu zaštitu i imaju internu Confluence instancu. Rizik je viši za organizacije koje ne prate aktivno životni ciklus perimetar-orijentisanih uređaja, imaju neažurirane integralne web aplikacije, ili su u zaostacima sa zakrpama za kritične servere.
Kako se zaštititi?
- Tretirati sve internet-dostupne uređaje na granici mreže kao Tier-0 resurse sa strogim zahtevima za ažuriranje i rukovanje verzijama
- Ažurirati sve F5 BIG-IP instance koje su premašile kraj radnog veka i primeniti sve dostupne sigurnosne zakrpe
- Primenjivati istu strogi nivo bezbednosti i redovnog održavanja na interne web aplikacije kao na eksterne usluge
- Isključiti NTLM autentifikaciju gde je god moguće i primeniti SMB i LDAP potpisivanje na svim serverima
- Omogućiti Extended Protection for Authentication da bi se sprečili relay napadi
- Pratiti SSH konekcije koje potiču iz F5 BIG-IP uređaja i aktivnosti pristupa kredencijala iz Confluence procesa
Tehnički detalji
Napadači su pristupili verziji F5 BIG-IP 15.1.201000 koja je dostižuće do 31. decembra 2024. godine. Inicial pristup je omogućio SSH logovanje na Linux host sa privilegovanim nalogom. Sledećom vršenja su uključena: Nmap skene za mapiranje interne mreže, gowitness za snimanje web servisa, enum4linux, netexec, smbclient, rpcclient, kerbrute i responder za lateralno kretanje. Napadači su iskoristili CVE-2025-33073 u napadu na kontroler domena uz PetitPotam forsiranje i DNS manipulaciju. C2 server je identifikovan kao 206.189.27[.]39. IOC pokazatelji obuhvataju nekoliko heš vrednosti za prilagođene alate, shell skripte, Kerbrute, gowitness i NTLM relay Python skriptu.
Preporuka Sajber Radara
Ova napada pokazuje da jednom eksploatisana aplikacija na granici mreže može dovesti do kompletnog napada na identitete i Active Directory. Preduzeća moraju odmah pregled stanja svih F5 BIG-IP instanci, primeniti sve dostupne zakrpe, i uvesti stroga pravila monitoringa i redovnog održavanja.