Bagaimana Hacker Menggabungkan Celah F5 BIG‑IP dan Bug Kernel Linux untuk Membobol Jaringan Enterprise
Penyerang memulai dengan mengeksploitasi kerentanan RCE pada perangkat F5 BIG‑IP APM yang terhubung ke internet, lalu meningkatkan akses menggunakan bug kernel Linux seperti Copy Fail (CVE‑2026‑31431) dan Dirty Frag (... Copy Fail dan Dirty Frag bukan celah jarak jauh; keduanya digunakan setelah penyerang sudah memi...
How are hackers chaining vulnerabilities in internet‑facing F5 BIG‑IP appliances with Linux privilege‑escalation bugs like CopyFail (CVE‑202Modern enterprise intrusions often begin at exposed edge appliances before escalating privileges and pivoting deeper into internal systems.
AI Perintah
Create a landscape editorial hero image for this Studio Global article: How are hackers chaining vulnerabilities in internet‑facing F5 BIG‑IP appliances with Linux privilege‑escalation bugs like CopyFail (CVE‑202. Article summary: Hackers are reportedly using a two-step chain: first they gain initial access on exposed F5 BIG‑IP APM devices through a remotely exploitable flaw such as CVE‑2025‑53521, then they use Linux local privilege-escalation bu. Topic tags: general, government, education, documentation, general web. Reference image context from search candidates: Reference image 1: visual subject "A local privilege escalation (LPE) vulnerability, dubbed Copy Fail (CVE-2026-31431), has been identified in the Linux kernel's `authencesn` cryptographic template. This logic flaw" source context "Weekly Threat Bulletin – May 6th, 2026 | F5 Labs" Reference image 2: visual subject "# CVE-2026
openai.com
Perangkat keamanan yang menghadap internet—seperti VPN gateway dan appliance akses—semakin sering menjadi titik awal pelanggaran jaringan perusahaan besar. Laporan insiden terbaru menunjukkan penyerang mengeksploitasi F5 BIG‑IP Access Policy Manager (APM) yang terekspos ke internet, lalu menggabungkannya dengan bug privilege‑escalation di kernel Linux untuk mendapatkan akses root dan bergerak lebih jauh ke jaringan internal.
Pola ini menggambarkan taktik intrusi modern: kompromikan sistem di tepi jaringan (edge), tingkatkan hak akses pada sistem yang menjalankannya, lalu pivot ke layanan internal tepercaya seperti sistem identitas atau platform kolaborasi.
Tahap 1: Akses Awal Melalui Appliance F5 BIG‑IP
Banyak organisasi menempatkan F5 BIG‑IP APM langsung di internet untuk menyediakan fungsi seperti VPN, autentikasi, atau access proxy. Posisi ini membuatnya menjadi target bernilai tinggi.
Kerentanan kritis CVE‑2025‑53521 memungkinkan remote code execution (RCE) tanpa autentikasi ketika kebijakan akses APM dikonfigurasi pada virtual server. Jika berhasil dieksploitasi, penyerang dapat menjalankan perintah arbitrer di perangkat tanpa kredensial.
Kerentanan ini telah diamati dalam serangan nyata dan masuk dalam daftar kerentanan yang sedang dieksploitasi secara aktif.
Setelah mendapatkan eksekusi kode pada appliance, penyerang biasanya memasang web shell atau membuat sesi shell persisten. Dari titik ini, perangkat tersebut menjadi pijakan awal untuk eskalasi lebih lanjut dan pergerakan lateral.
Tahap 2: Naik ke Akses Root dengan Bug Kernel Linux
Akses awal pada appliance tidak selalu memberikan kontrol penuh atas sistem. Dalam banyak kasus, penyerang hanya mendapatkan akun dengan hak terbatas.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Apa jawaban singkat untuk "Bagaimana Hacker Menggabungkan Celah F5 BIG‑IP dan Bug Kernel Linux untuk Membobol Jaringan Enterprise"?
Penyerang memulai dengan mengeksploitasi kerentanan RCE pada perangkat F5 BIG‑IP APM yang terhubung ke internet, lalu meningkatkan akses menggunakan bug kernel Linux seperti Copy Fail (CVE‑2026‑31431) dan Dirty Frag (...
Apa poin penting yang harus divalidasi terlebih dahulu?
Penyerang memulai dengan mengeksploitasi kerentanan RCE pada perangkat F5 BIG‑IP APM yang terhubung ke internet, lalu meningkatkan akses menggunakan bug kernel Linux seperti Copy Fail (CVE‑2026‑31431) dan Dirty Frag (... Copy Fail dan Dirty Frag bukan celah jarak jauh; keduanya digunakan setelah penyerang sudah memiliki akses awal, memungkinkan peningkatan hak akses menjadi root pada sistem Linux.
Apa yang harus saya lakukan selanjutnya dalam latihan?
Organisasi disarankan segera menambal BIG‑IP dan kernel Linux, membatasi akses shell pada perangkat edge, menonaktifkan modul kernel berisiko bila perlu, memperketat keamanan container, dan memantau aktivitas privileg...
Untuk melewati pembatasan ini, mereka dapat mengeksploitasi kerentanan local privilege escalation (LPE) di kernel Linux.
Copy Fail (CVE‑2026‑31431)
“Copy Fail” adalah kerentanan kernel Linux yang diumumkan pada April 2026 dan memengaruhi kernel yang dibangun sejak 2017. Celah ini berada pada komponen algif_aead, bagian dari antarmuka kriptografi userspace kernel (AF_ALG).
Kerentanan ini memungkinkan proses tanpa hak istimewa merusak memori page‑cache melalui operasi tertentu, yang kemudian dapat dimanfaatkan untuk memperoleh akses root.
Penting dicatat bahwa kerentanan ini tidak dapat dieksploitasi secara jarak jauh secara mandiri. Penyerang harus sudah memiliki akses lokal ke sistem—misalnya melalui shell yang diperoleh dari eksploitasi lain.
Dirty Frag (CVE‑2026‑43284)
“Dirty Frag” merujuk pada sekumpulan kerentanan kernel Linux yang memengaruhi komponen jaringan seperti modul IPsec ESP (esp4 dan esp6).
Celah ini memungkinkan pengguna lokal memanipulasi memori page‑cache melalui jalur jaringan kernel dan meningkatkan hak akses menjadi root pada banyak sistem Linux.
Seperti Copy Fail, Dirty Frag juga merupakan kerentanan pasca‑eksploitasi: penyerang harus sudah memiliki eksekusi kode pada host sebelum memanfaatkannya.
Tahap 3: Pivot dari Perangkat Edge ke Sistem Internal
Setelah memperoleh akses root pada appliance, penyerang dapat mengekstrak kredensial, token autentikasi, atau rahasia konfigurasi yang tersimpan.
Peneliti keamanan telah mengamati insiden di mana penyerang berpindah dari appliance F5 yang telah dikompromikan ke sistem internal, termasuk server Confluence yang digunakan perusahaan untuk dokumentasi dan kolaborasi.
Infrastruktur edge sering memiliki hubungan kepercayaan luas di dalam jaringan. Jika perangkat ini berhasil diambil alih, penyerang bisa:
Mengakses jaringan manajemen internal
Mencuri cookie autentikasi atau sertifikat
Mengakses layanan identitas
Bergerak lateral ke server aplikasi
Peneliti Microsoft menyebut kompromi semacam ini sebagai tren yang meningkat: penyerang menargetkan perangkat keamanan yang terekspos internet karena sistem tersebut sangat dipercaya di dalam jaringan perusahaan.
Mengapa Rantai Serangan Ini Efektif
Serangan bertahap ini bekerja karena menggabungkan beberapa kerentanan yang secara individu tampak terbatas:
Celah RCE pada perangkat edge memberikan akses awal.
Bug privilege escalation Linux mengubah akses terbatas menjadi kontrol penuh sistem.
Posisi jaringan yang tepercaya memungkinkan penyerang bergerak ke sistem internal.
Setiap tahap memperkuat tahap sebelumnya. Sebuah foothold kecil pada perangkat batas jaringan dapat berkembang menjadi pelanggaran skala perusahaan jika eskalasi dan pergerakan lateral berhasil.
Prioritas Pertahanan untuk Organisasi
Melindungi diri dari rantai serangan ini berarti menutup vektor akses awal sekaligus jalur eskalasi setelah kompromi.
1. Patch Sistem F5 BIG‑IP Segera
Organisasi harus memperbarui deployment BIG‑IP APM yang rentan ke versi yang telah menutup CVE‑2025‑53521, terutama jika perangkat tersebut terekspos internet.
Beberapa badan keamanan siber merekomendasikan pembaruan ini sebagai prioritas tinggi karena eksploitasi telah terdeteksi di lapangan.
2. Perbarui Kernel Linux di Seluruh Infrastruktur
Pasang pembaruan keamanan untuk:
CVE‑2026‑31431 (Copy Fail)
CVE‑2026‑43284 dan kerentanan Dirty Frag terkait
Bug ini memengaruhi banyak distribusi Linux utama dan kernel yang dirilis sejak 2017.
3. Batasi Akses Shell pada Appliance Edge
Karena Copy Fail dan Dirty Frag membutuhkan eksekusi lokal, membatasi atau menonaktifkan akses shell pada appliance dapat secara signifikan mengurangi peluang eksploitasi.
Akses administratif harus dibatasi secara ketat dan dimonitor.
4. Nonaktifkan Modul Kernel Rentan Jika Patch Tertunda
Jika patch belum dapat diterapkan segera, organisasi dapat sementara memblokir modul kernel yang terkait dengan Dirty Frag—misalnya esp4 dan esp6—setelah memastikan tidak mengganggu operasi sistem.
5. Perkuat Keamanan Container dan Lingkungan Shared Kernel
Bug LPE pada kernel dapat membuka jalan untuk container escape. Organisasi sebaiknya:
Menghindari container dengan hak istimewa tinggi
Meminimalkan modul kernel yang tersedia
Membatasi workload yang tidak tepercaya
Langkah‑langkah ini membantu membatasi dampak jika satu container atau proses host berhasil dikompromikan.
6. Pantau Aktivitas Pasca‑Eksploitasi
Tim keamanan perlu memantau tanda‑tanda eskalasi hak akses atau pergerakan lateral, seperti:
Sesi shell tak terduga pada appliance edge
Anomali pemuatan modul kernel
Perubahan hak akses mendadak ke root
Koneksi keluar yang tidak biasa dari sistem infrastruktur
Upaya autentikasi terhadap platform internal seperti Confluence atau layanan identitas
Bukti dan Keterbatasan
Laporan keamanan mendukung pola umum serangan: mengeksploitasi appliance edge yang terekspos, meningkatkan hak akses pada host Linux, lalu pivot ke layanan internal.
Namun, bukti publik bahwa satu kampanye secara konsisten menggabungkan CVE‑2025‑53521, Copy Fail, dan Dirty Frag sekaligus pada banyak korban masih terbatas. Kerentanan tersebut kompatibel secara teknis untuk dirantai, tetapi taktik nyata penyerang dapat berbeda di setiap lingkungan.
Pelajaran Keamanan yang Lebih Besar
Perangkat edge dulu dianggap sebagai perangkat keamanan yang sangat keras (hardened). Kenyataannya, perangkat ini semakin sering menjadi titik akses awal bernilai tinggi.
Jika appliance yang terekspos internet menjalankan Linux di balik layar, maka setiap bug privilege‑escalation dalam ekosistem Linux dapat menjadi bagian dari rantai intrusi yang lebih besar. Karena itu, patch cepat, kontrol akses ketat, dan pemantauan yang kuat pada infrastruktur edge menjadi faktor krusial dalam pertahanan keamanan perusahaan modern.
Mitigation Guide: Linux Kernel "Dirty Frag" (CVE-2026- ...
Comments
0 comments