Eksploitasi F5 BIG-IP: Serangan Siber Lewat Akses SSH ke Jaringan Enterprise Linux

Eksploitasi F5 BIG-IP: Serangan Siber Lewat Akses SSH ke Jaringan Enterprise Linux

Tim Microsoft Defender Security Research mendeteksi serangan multi-tahap yang mengeksploitasi F5 BIG-IP sebagai titik masuk (initial access). Serangan bertarget identitas ini pada akhirnya berhasil menyusup hingga ke Active Directory perusahaan.

Tren: Perangkat Perimeter (Edge Appliance) Sebagai Akses Awal

Serangan ini mencerminkan tren yang kian meningkat di mana firewall, VPN gateway, dan load balancer—yang secara tradisional diterapkan sebagai batas keamanan (security boundaries)—kini justru dijadikan target utama untuk akses awal.

Karena perangkat perimeter ini terekspos langsung ke internet (externally exposed), jarang dipantau secara ketat (lightly monitored), dan memiliki tingkat kepercayaan yang tinggi (highly trusted) di dalam lingkungan korporat, satu kompromi saja dapat memberikan penyerang posisi yang kuat (foothold) yang tahan lama. Selain itu, penyerang bisa mendapatkan akses ke kredensial yang tersimpan (stored credentials), sertifikat digital, serta integrasi identitas.

Tahapan Serangan (Cyber Kill Chain)

1. Akses Awal (Initial Access) — F5 BIG-IP End-of-Life Aktor ancaman (threat actor) membangun akses SSH ke host Linux pertama melalui perangkat yang teridentifikasi sebagai load balancer F5 BIG-IP. Berdasarkan inventaris perangkat, sumber serangan berasal dari BIG-IP Virtual Edition yang berjalan di Azure dengan versi 15.1.201000. Build ini umum diterapkan via Azure ARM templates dan modul Terraform, namun sayangnya telah memasuki masa pensiun (end-of-life) sejak 31 Desember 2024.

2. Pengintaian (Reconnaissance) dan Pergerakan Lateral (Lateral Movement) Penyerang melakukan autentikasi ke server Linux melalui SSH menggunakan akun berhak akses tinggi (privileged account). Mereka mempertahankan akses langsung (hands-on keyboard access) tanpa mekanisme persistensi yang eksplisit. Hal ini menyoroti bahaya dari identitas dengan hak akses berlebih (over-privileged) yang memiliki hak akses sudo.

Di dalam host tersebut, penyerang melakukan pengintaian secara agresif menggunakan:

• Skrip shell untuk pemindaian Nmap horizontal di seluruh subnet internal.
• Pemindaian vertikal untuk mengidentifikasi layanan yang terbuka (open services).
• Tool gowitness untuk mengambil tangkapan layar dan melakukan fingerprinting pada layanan HTTP/HTTPS melalui proxy SOCKS5.
• Perangkat perkakas (toolkit) sumber terbuka (open-source) seperti: enum4linux, netexec, smbclient, rpcclient, timeroast, ldapsearch, kerbrute, dan responder untuk pergerakan lateral berbasis NTLM (menyasar target Windows).

3. Pivot Melalui RCE Confluence Proses pengintaian berhasil menemukan server Atlassian Confluence internal yang memiliki celah keamanan belum ditambal (unpatched vulnerabilities), yang memungkinkan eksekusi kode jarak jauh (Remote Code Execution/RCE). Menariknya, Confluence ini tidak terekspos ke internet, namun tetap dapat diakses setelah penyerang berhasil masuk ke jaringan internal.

Karena fitur perlindungan waktu nyata (real-time protection) memblokir pengiriman payload secara berulang, aktor ancaman mengubah strategi: mereka menjalankan server FTP anonim menggunakan pustaka ftplib milik Python di host staging Linux, lalu mentransfer tool serangan menggunakan perintah curl ke direktori /dev/shm.

4. Kompromi Identitas dan Penargetan Domain Controller Setelah berhasil menguasai Confluence, penyerang memanen kredensial (credential harvesting) dari file konfigurasi (server.xml, confluence.cfg.xml), kemudian menggunakan kredensial tersebut untuk menyerang infrastruktur Windows.

Peningkatan ekskalasi ini mengarah pada:

• Serangan Kerberos relay.
• Eksploitasi celah keamanan CVE-2025-33073.
• Penggunaan netexec dengan teknik pemaksaan (coercion) PetitPotam.
• Manipulasi DNS menggunakan tooling khusus yang diarahkan langsung ke Domain Controller (DC).

Catatan Penting

Microsoft mencatat bahwa intruksi ini menunjukkan bagaimana satu celah RCE pada komponen web yang berdekatan dengan perimeter (perimeter-adjacent) dapat berdampak domino (cascade) menjadi kompromi identitas yang melintasi berbagai platform dan batas kepercayaan (trust boundaries). Penyerang tidak perlu menggunakan teknik yang sangat canggih—mereka hanya perlu gigih (persistent), terutama di lingkungan hybrid yang memiliki celah dalam manajemen tambalan (patching) dan pemantauan.

Microsoft Defender for Endpoint berhasil mendeteksi aktivitas ini dan memblokir payload ELF pada host Confluence yang telah mengaktifkan fitur real-time protection.