Уязвимости F5 BIG-IP и Confluence открыли путь атаке

Инцидент, описанный в отчете, подтверждает устойчивую тенденцию последних лет: интернет-ориентированные периферийные устройства, включая firewalls и VPN gateways, все чаще становятся точкой входа для сложных кибератак. В данном случае начальным вектором был F5 BIG-IP в среде Azure — версия, уже достигшая EOL, то есть конца жизненного цикла. Это означает отсутствие дальнейшей поддержки и, как следствие, повышенный риск компрометации.

Компрометация BIG-IP и доступ к внутреннему Linux-хосту

После эксплуатации уязвимости в F5 BIG-IP злоумышленник получил SSH-доступ к внутреннему Linux-хосту, используя привилегированную учетную запись. При этом не было обнаружено явных механизмов закрепления, однако сам факт наличия избыточно привилегированной учетной записи с правами sudo существенно упростил дальнейшие действия атакующего.

Отдельно отмечается, что злоумышленник сохранял прямой контроль над сеансом SSH и активно взаимодействовал с затронутыми системами в режиме реального времени. Это указывает на ручное управление атакой, а не на полностью автоматизированный сценарий.

Разведка: Nmap, scripts и поиск сервисов

Фаза разведки сопровождалась масштабным перечислением и сканированием сети. Для выявления подключенных устройств и сервисов использовались:

• Nmap;
• автоматизированные script shells;
• детальные сканирования для обнаружения HTTP/HTTPS-сервисов;
• поиск потенциальных целей внутри инфраструктуры.

В отчете также фигурирует инструмент HackTool:Linux/MalPack.B, который использовался для разведывательной активности. Его задача заключалась в зондировании нескольких web applications, взаимодействующих с скомпрометированным сервером, с целью понять особенности контроля доступа и возможные слабые места.

Латеральное перемещение через уязвимый Atlassian Confluence

Затем атакующий обнаружил в сети уязвимый сервер Atlassian Confluence и использовал его уязвимости для выполнения remote code execution. Таким образом, первоначальный доступ через perimeter device стал лишь первым этапом более глубокой компрометации инфраструктуры.

Попытки разместить вредоносные payload’ы были зафиксированы уже на следующем этапе атаки. Это подтверждает, что после получения initial access злоумышленники могут перемещаться внутри сети, выбирая доступные сервисы для повышения привилегий и расширения контроля над организационной средой.

Почему этот инцидент важен

Ключевой вывод отчета заключается в том, что уязвимые приложения не обязаны иметь прямой доступ из интернета, чтобы представлять серьезную угрозу безопасности. Достаточно одного скомпрометированного узла или доверенного внутреннего сервиса, чтобы атакующий смог развить успех внутри сети.

Инцидент также демонстрирует несколько техник, соответствующих MITRE ATT&CK, и подчеркивает необходимость постоянного мониторинга, своевременного обновления инфраструктуры и ограничения привилегий учетных записей. В условиях сложных киберугроз именно эти меры остаются критически важными для снижения риска lateral movement и deeper compromise.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.