答え公開済み3 週間前Last edited 4 日前20 ソース

F5 BIG‑IPの侵害からLinux権限昇格へ：企業ネットワーク侵入の多段攻撃チェーン

攻撃者はF5 BIG‑IP APMのRCE脆弱性を悪用して初期侵入し、その後Linuxカーネルの権限昇格バグ（Copy Fail、Dirty Frag）でroot権限を取得するケースが報告されている。 Copy FailとDirty Fragは単体ではリモート攻撃できないが、侵入後に利用されると低権限アクセスを完全なシステム制御へと拡大できる。

Studio Global AIで検索して事実確認さらにトレンドページを見る

1.5M0

Illustration of attackers exploiting an F5 BIG‑IP edge appliance and pivoting into internal enterprise systems — How are hackers chaining vulnerabilities in internet‑facing F5 BIG‑IP appliances with Linux privilege‑escalation bugs like CopyFail (CVE‑202Modern enterprise intrusions often begin at exposed edge appliances before escalating privileges and pivoting deeper into internal systems.
AI プロンプト
Create a landscape editorial hero image for this Studio Global article: How are hackers chaining vulnerabilities in internet‑facing F5 BIG‑IP appliances with Linux privilege‑escalation bugs like CopyFail (CVE‑202. Article summary: Hackers are reportedly using a two-step chain: first they gain initial access on exposed F5 BIG‑IP APM devices through a remotely exploitable flaw such as CVE‑2025‑53521, then they use Linux local privilege-escalation bu. Topic tags: general, government, education, documentation, general web. Reference image context from search candidates: Reference image 1: visual subject "A local privilege escalation (LPE) vulnerability, dubbed Copy Fail (CVE-2026-31431), has been identified in the Linux kernel's `authencesn` cryptographic template. This logic flaw" source context "Weekly Threat Bulletin – May 6th, 2026 | F5 Labs" Reference image 2: visual subject "# CVE-2026
openai.com

企業ネットワークへの侵入手口は近年、大きく変化している。攻撃者はまずインターネットに公開されたエッジ機器を突破し、その内部OSの脆弱性を使って権限を拡大し、最終的に社内システムへ横展開する多段攻撃を行うケースが増えている。

最近の調査では、**F5 BIG‑IP Access Policy Manager（APM）**を侵害した後、Linuxカーネルの権限昇格バグを連鎖させてroot権限を取得し、企業ネットワーク内部へ侵入する手口が確認されている。

この流れは、境界機器の侵害→権限昇格→社内横展開という典型的な侵入チェーンを示している。

ステップ1：F5 BIG‑IP APMを狙った初期侵入

多くの企業では、VPNや認証ゲートウェイとしてF5 BIG‑IP APMをインターネットに直接公開している。これは利便性が高い一方、攻撃者にとって魅力的な侵入口にもなる。

特に問題視されているのが CVE‑2025‑53521 という重大な脆弱性だ。APMのアクセスポリシーが仮想サーバーに設定されている場合、特定の悪意あるトラフィックにより認証なしでリモートコード実行（RCE）が可能になる。

この脆弱性は実際の攻撃で利用されており、脆弱性監視リストにも追加されている。

侵入に成功した攻撃者は通常、次のような手段で足場を確保する。

・Webシェルの設置
・永続的なシェルセッションの確立
・バックドアの埋め込み

こうして侵害されたエッジ機器は、次の攻撃段階の踏み台として使われる。

ステップ2：Linuxカーネル脆弱性でroot権限を奪取

F5機器への侵入直後は、攻撃者が得られる権限が制限されていることが多い。そのため次に狙われるのがLinuxカーネルのローカル権限昇格（LPE）脆弱性だ。

Copy Fail（CVE‑2026‑31431）

「Copy Fail」は2026年4月に公開されたLinuxカーネルの脆弱性で、2017年以降の多くのカーネルに影響する。

問題はカーネルのユーザー空間暗号API（AF_ALG）の algif_aead コンポーネントにあり、特定の操作によって。

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

Studio Global AIで検索して事実確認

人々も尋ねます