Cyberprzestępcy coraz częściej omijają klasyczne zabezpieczenia endpointów (o których pisaliśmy w zeszłym tygodniu tutaj i koncentrują się na urządzeniach infrastrukturalnych znajdujących się na granicy sieci. Load balancery, bramy VPN oraz systemy zarządzania ruchem sieciowym stały się dziś jednym z najcenniejszych celów dla grup ransomware i operatorów zaawansowanych kampanii APT. Najnowszy incydent związany z urządzeniami F5 BIG-IP pokazuje, jak groźne mogą być skutki kompromitacji takiego systemu.

Autor: 9 min czytania

Badacze bezpieczeństwa opisali przypadek, w którym atakujący uzyskali dostęp do urządzenia F5 BIG-IP, a następnie wykorzystali je jako punkt wejścia do wewnętrznej infrastruktury organizacji. Efektem było uruchomienie połączeń SSH do serwerów Linux, dalszy ruch boczny w sieci oraz próby przejęcia środowiska Active Directory. Eksperci ostrzegają, że podobne ataki mogą dotyczyć wielu firm korzystających z niewspieranych wersji BIG-IP lub błędnie skonfigurowanych appliance’ów dostępnych z Internetu.

Czym jest F5 BIG-IP i dlaczego jest tak ważny?

F5 BIG-IP to jedna z najpopularniejszych platform wykorzystywanych do zarządzania ruchem sieciowym w przedsiębiorstwach. System pełni funkcję load balancera, reverse proxy, Web Application Firewall (WAF) oraz kontrolera dostępu do aplikacji. W praktyce oznacza to, że urządzenie często znajduje się pomiędzy Internetem a kluczowymi usługami organizacji.

BIG-IP obsługuje uwierzytelnianie użytkowników, szyfrowanie ruchu, przekierowania aplikacyjne oraz zarządzanie sesjami. Kompromitacja takiego systemu daje zatem napastnikom wyjątkowo szerokie możliwości działania. Atakujący mogą podsłuchiwać ruch sieciowy, przechwytywać dane logowania, modyfikować konfigurację lub uzyskać dostęp do zasobów znajdujących się wewnątrz organizacji.

Dodatkowo urządzenia F5 często posiadają wysokie uprawnienia w środowisku firmowym oraz komunikują się z kontrolerami domeny Active Directory, serwerami aplikacyjnymi i systemami uwierzytelniania. To sprawia, że przejęcie jednego appliance’a może stać się początkiem pełnej kompromitacji infrastruktury.

Jak przebiegał atak?

Według analizy opublikowanej przez badaczy bezpieczeństwa atak rozpoczął się od kompromitacji urządzenia F5 BIG-IP Virtual Edition działającego w środowisku Microsoft Azure. System pracował na wersji 15.1.x, która pod koniec 2024 roku osiągnęła status End of Life. Oznacza to brak dalszych aktualizacji bezpieczeństwa i poprawek producenta.

Źródło: Microsoft

Po uzyskaniu dostępu do urządzenia napastnicy skonfigurowali połączenia SSH do pierwszego hosta Linux znajdującego się wewnątrz sieci. Tego typu działanie pozwala ominąć wiele klasycznych mechanizmów ochrony, ponieważ ruch pochodzi z zaufanego urządzenia infrastrukturalnego. W kolejnych etapach atakujący rozpoczęli rozpoznanie sieci, identyfikację użytkowników oraz próbę uzyskania dostępu do środowiska Active Directory.

Źródło: Microsoft

Eksperci wskazują, że był to klasyczny przykład lateral movement, czyli przemieszczania się napastników pomiędzy systemami po uzyskaniu początkowego dostępu. Technika ta jest powszechnie stosowana przez grupy ransomware, które po cichu przejmują kolejne serwery i konta administracyjne przed uruchomieniem właściwego ataku szyfrującego.

Wykorzystanie luk bezpieczeństwa

Choć szczegóły techniczne wykorzystanej podatności nie zostały w pełni ujawnione, eksperci przypominają, że platforma BIG-IP była w ostatnich latach wielokrotnie celem poważnych exploitów. W przeszłości wykrywano między innymi luki umożliwiające:

  • odczyt poufnych plików konfiguracyjnych.
  • zdalne wykonywanie poleceń (Remote Code Execution),
  • command injection poprzez interfejs iControl REST,
  • eskalację uprawnień do poziomu root,
  • obchodzenie uwierzytelniania,

Szczególnie niebezpieczne były podatności pozwalające na wykonywanie komendy bash bezpośrednio z poziomu interfejsu administracyjnego. W praktyce oznaczało to możliwość przejęcia pełnej kontroli nad systemem Linux działającym pod urządzeniem BIG-IP.

Atakujący bardzo często automatycznie skanują Internet w poszukiwaniu podatnych appliance’ów. W przypadku urządzeń wystawionych publicznie czas pomiędzy publikacją exploita a pierwszymi próbami ataków może wynosić zaledwie kilka godzin.

Dlaczego środowiska chmurowe są szczególnie narażone?

Coraz więcej organizacji wdraża F5 BIG-IP w chmurze publicznej, między innymi w Microsoft Azure, AWS czy Google Cloud Platform. Wiele takich implementacji powstaje automatycznie przy użyciu Terraform, ARM Templates lub gotowych obrazów marketplace.

Problem polega na tym, że administratorzy często skupiają się na uruchomieniu usługi, a nie na późniejszym utrzymaniu bezpieczeństwa appliance’a. W efekcie w środowiskach produkcyjnych działają przestarzałe wersje BIG-IP pozbawione aktualnych poprawek bezpieczeństwa.

Dodatkowym zagrożeniem jest niewłaściwa konfiguracja grup bezpieczeństwa oraz otwarte porty administracyjne dostępne bezpośrednio z Internetu. Pozwala to cyberprzestępcom na prowadzenie automatycznych ataków brute force lub wykorzystywanie znanych podatności bez konieczności wcześniejszego uzyskania dostępu do sieci organizacji.

Możliwe skutki kompromitacji

Przejęcie urządzenia F5 BIG-IP może przynieść organizacji katastrofalne skutki. Napastnicy mogą:

  • przechwytywać ruch sieciowy,
  • kraść dane logowania użytkowników,
  • uzyskać dostęp do aplikacji wewnętrznych,
  • przeprowadzać ataki Man-in-the-Middle,
  • przejąć kontrolę nad Active Directory,
  • wdrożyć ransomware w całej organizacji.

W przypadku środowisk produkcyjnych konsekwencją może być również całkowite zatrzymanie działania usług internetowych, systemów biznesowych oraz aplikacji krytycznych dla firmy.

Eksperci zwracają uwagę, że urządzenia infrastrukturalne są często pomijane podczas monitorowania bezpieczeństwa. Wiele organizacji koncentruje się na ochronie stacji roboczych i serwerów Windows, ignorując appliance’y sieciowe działające na Linuksie lub specjalizowanych systemach operacyjnych.

Jak zabezpieczyć środowisko F5 BIG-IP?

Specjaliści ds. cyberbezpieczeństwa rekomendują natychmiastowe przeprowadzenie audytu wszystkich urządzeń BIG-IP znajdujących się w organizacji. Kluczowe działania obejmują:

Aktualizację oprogramowania – administratorzy powinni upewnić się, że korzystają wyłącznie ze wspieranych wersji BIG-IP, posiadających najnowsze poprawki bezpieczeństwa.

Ograniczenie dostępu administracyjnego – interfejsy zarządzania oraz usługi SSH powinny być dostępne wyłącznie z wybranych adresów IP lub przez sieci VPN.

Wdrożenie MFA – wieloskładnikowe uwierzytelnianie znacząco utrudnia przejęcie kont administracyjnych nawet w przypadku wycieku haseł.

Segmentację sieci – ograniczenie komunikacji pomiędzy segmentami infrastruktury utrudnia lateral movement i zmniejsza skutki ewentualnej kompromitacji.

Monitoring logów – nietypowe logowania SSH, zmiany konfiguracji oraz połączenia wychodzące z appliance’ów powinny być stale monitorowane przez systemy SIEM.

Infrastruktura sieciowa w centrum uwagi cyberprzestępców

Rosnąca liczba incydentów związanych z urządzeniami F5 pokazuje wyraźny trend w świecie cyberzagrożeń. Cyberprzestępcy coraz częściej rezygnują z atakowania pojedynczych użytkowników i koncentrują się na przejmowaniu elementów infrastruktury sieciowej. Tego typu urządzenia oferują znacznie większe możliwości operacyjne i często zapewniają dostęp do całego środowiska organizacji.

Dla firm oznacza to konieczność zmiany podejścia do bezpieczeństwa. Load balancery, firewalle i appliance’y VPN nie mogą być traktowane wyłącznie jako urządzenia sieciowe. Dziś są one pełnoprawnym celem cyberataków i wymagają takiego samego poziomu ochrony, monitorowania oraz aktualizacji jak serwery krytyczne czy kontrolery domeny.

Eksperci podkreślają, że brak regularnych aktualizacji oraz utrzymywanie niewspieranych wersji systemów może prowadzić do sytuacji, w której pojedyncza luka bezpieczeństwa otworzy napastnikom drogę do całkowitego przejęcia infrastruktury IT przedsiębiorstwa.