Как злоумышленники связывают уязвимости F5 BIG‑IP с повышением привилегий в Linux
Злоумышленники получают начальный доступ через уязвимость RCE в F5 BIG‑IP APM (CVE‑2025‑53521), доступную с интернета. После закрепления на устройстве используются локальные уязвимости ядра Linux — Copy Fail (CVE‑2026‑31431) и Dirty Frag (CVE‑2026‑43284) — для повышения привилегий до root.
How are hackers chaining vulnerabilities in internet‑facing F5 BIG‑IP appliances with Linux privilege‑escalation bugs like CopyFail (CVE‑202Modern enterprise intrusions often begin at exposed edge appliances before escalating privileges and pivoting deeper into internal systems.
Промпт ИИ
Create a landscape editorial hero image for this Studio Global article: How are hackers chaining vulnerabilities in internet‑facing F5 BIG‑IP appliances with Linux privilege‑escalation bugs like CopyFail (CVE‑202. Article summary: Hackers are reportedly using a two-step chain: first they gain initial access on exposed F5 BIG‑IP APM devices through a remotely exploitable flaw such as CVE‑2025‑53521, then they use Linux local privilege-escalation bu. Topic tags: general, government, education, documentation, general web. Reference image context from search candidates: Reference image 1: visual subject "A local privilege escalation (LPE) vulnerability, dubbed Copy Fail (CVE-2026-31431), has been identified in the Linux kernel's `authencesn` cryptographic template. This logic flaw" source context "Weekly Threat Bulletin – May 6th, 2026 | F5 Labs" Reference image 2: visual subject "# CVE-2026
openai.com
Современные атаки на корпоративные сети всё чаще начинаются не с рабочих станций сотрудников, а с пограничной инфраструктуры — VPN‑шлюзов, балансировщиков и систем удалённого доступа. Одним из таких примеров стали атаки на устройства F5 BIG‑IP Access Policy Manager (APM).
Исследования инцидентов показывают повторяющийся сценарий: злоумышленники получают удалённое выполнение кода на интернет‑доступном устройстве, затем используют уязвимости ядра Linux для повышения привилегий и после этого перемещаются во внутреннюю инфраструктуру предприятия.
Шаг 1. Начальный доступ через F5 BIG‑IP
Многие компании размещают устройства F5 BIG‑IP APM напрямую в интернете, поскольку они обеспечивают VPN‑доступ, проксирование приложений и аутентификацию пользователей. Такая архитектура делает их привлекательной целью для атакующих.
Критическая уязвимость CVE‑2025‑53521 позволяет выполнить удалённый код без аутентификации, если на виртуальном сервере настроена политика доступа APM. Эксплуатация позволяет злоумышленнику выполнять произвольные команды на устройстве.
Эта уязвимость уже наблюдалась в реальных атаках и была включена в списки активно эксплуатируемых уязвимостей.
После получения доступа атакующие обычно:
устанавливают веб‑шеллы
открывают постоянную оболочку (shell)
создают скрытый канал управления
В результате компрометированное устройство становится точкой входа во внутреннюю сеть.
Шаг 2. Повышение привилегий через уязвимости ядра Linux
Первоначальный доступ на устройстве не всегда означает полный контроль. Часто злоумышленник получает лишь ограничённый доступ или непривилегированную учетную запись.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Каков краткий ответ на вопрос «Как злоумышленники связывают уязвимости F5 BIG‑IP с повышением привилегий в Linux»?
Злоумышленники получают начальный доступ через уязвимость RCE в F5 BIG‑IP APM (CVE‑2025‑53521), доступную с интернета.
Какие ключевые моменты необходимо проверить в первую очередь?
Злоумышленники получают начальный доступ через уязвимость RCE в F5 BIG‑IP APM (CVE‑2025‑53521), доступную с интернета. После закрепления на устройстве используются локальные уязвимости ядра Linux — Copy Fail (CVE‑2026‑31431) и Dirty Frag (CVE‑2026‑43284) — для повышения привилегий до root.
Что мне делать дальше на практике?
Получив полный контроль над пограничным устройством, атакующие могут похищать учетные данные и перемещаться к внутренним сервисам компании, включая системы вроде Confluence.
Чтобы получить полный контроль, используются уязвимости локального повышения привилегий (LPE) в ядре Linux.
Copy Fail (CVE‑2026‑31431)
Уязвимость Copy Fail, раскрытая в апреле 2026 года, затрагивает ядро Linux, собранное начиная с 2017 года. Ошибка находится в компоненте algif_aead, который относится к пользовательскому криптографическому интерфейсу ядра (AF_ALG).
При определённых операциях непривилегированный процесс может повредить память page cache, что позволяет получить права root.
Важно: эта уязвимость не может быть использована удалённо сама по себе — злоумышленнику уже нужен локальный доступ к системе.
Dirty Frag (CVE‑2026‑43284)
Группа уязвимостей, известная как Dirty Frag, затрагивает сетевые компоненты ядра Linux, включая модули IPsec ESP (esp4 и esp6).
Эти ошибки позволяют локальному пользователю манипулировать памятью page cache через сетевые пути ядра и также повышать привилегии до root.
Как и Copy Fail, Dirty Frag используется после первоначального взлома, когда атакующий уже может запускать код на системе.
Шаг 3. Перемещение внутрь корпоративной сети
Получив root‑доступ на пограничном устройстве, злоумышленники могут извлекать конфиденциальные данные, включая:
учетные данные пользователей
токены аутентификации
сертификаты
конфигурационные секреты
Исследователи отмечали случаи, когда атакующие переходили с компрометированного устройства F5 во внутренние системы, включая серверы Confluence, используемые для совместной работы и документации.
Такие устройства часто обладают высоким уровнем доверия внутри инфраструктуры. Поэтому компрометация может позволить злоумышленникам:
получать доступ к внутренним сегментам управления
перехватывать куки или сертификаты
обращаться к системам управления идентификацией
перемещаться между внутренними сервисами
По данным исследователей Microsoft, атаки на интернет‑доступные устройства безопасности становятся всё более распространённым способом первоначального проникновения в корпоративные сети.
Почему такая цепочка атак работает
Эта многоэтапная схема эффективна, потому что объединяет несколько уязвимостей, каждая из которых по отдельности кажется ограниченной:
RCE на пограничном устройстве даёт начальную точку доступа
уязвимости повышения привилегий в Linux превращают этот доступ в полный контроль
доверие к инфраструктуре на границе сети позволяет двигаться дальше во внутренние сервисы
В итоге даже небольшой первоначальный доступ может быстро перерасти в масштабную компрометацию инфраструктуры.
Что организациям нужно сделать
Для защиты необходимо закрывать как начальный вектор атаки, так и механизмы эскалации после взлома.
1. Срочно обновить F5 BIG‑IP
Необходимо установить обновления для CVE‑2025‑53521, особенно на устройствах, доступных из интернета.
Из‑за подтверждённой эксплуатации уязвимости многие агентства кибербезопасности рекомендуют рассматривать обновление как приоритетное.
2. Обновить ядра Linux
Следует применить патчи для уязвимостей:
CVE‑2026‑31431 (Copy Fail)
CVE‑2026‑43284 и связанных проблем Dirty Frag
Они затрагивают многие популярные дистрибутивы Linux и версии ядра, выпущенные после 2017 года.
3. Ограничить доступ к shell на пограничных устройствах
Поскольку Copy Fail и Dirty Frag требуют локального исполнения кода, отключение или строгий контроль shell‑доступа значительно усложняет их эксплуатацию.
4. При необходимости временно отключить уязвимые модули
Если обновление откладывается, можно временно отключить некоторые модули ядра, связанные с Dirty Frag — например esp4 и esp6 — предварительно убедившись, что это не нарушит работу IPsec.
5. Усилить безопасность контейнерных сред
LPE‑уязвимости ядра могут приводить к выходу из контейнеров. Организациям рекомендуется:
избегать привилегированных контейнеров
ограничивать доступ к модулям ядра
изолировать недоверенные рабочие нагрузки
6. Следить за признаками пост‑эксплуатации
Системы мониторинга должны отслеживать:
неожиданные shell‑сессии на пограничных устройствах
загрузку подозрительных модулей ядра
резкое повышение привилегий до root
исходящие соединения с инфраструктурных систем
попытки доступа к внутренним сервисам (например Confluence)
Важное уточнение
Существует подтверждение общей схемы атак, при которой злоумышленники взламывают пограничные устройства, повышают привилегии на Linux‑системах и затем перемещаются внутрь сети.
Однако открытых доказательств того, что одна конкретная кампания регулярно использует именно комбинацию CVE‑2025‑53521, Copy Fail и Dirty Frag, пока немного. Эти уязвимости технически могут объединяться в одну цепочку, но конкретные инструменты атакующих могут различаться в зависимости от инфраструктуры жертвы.
Главный вывод
Ранее сетевые устройства безопасности считались относительно изолированными и защищёнными. Сегодня они всё чаще становятся первой точкой проникновения.
Если интернет‑доступное устройство работает на Linux, любая уязвимость повышения привилегий в экосистеме Linux может превратиться в часть более крупной цепочки атаки. Поэтому своевременные обновления, строгий контроль доступа и мониторинг пограничной инфраструктуры становятся критически важными для защиты корпоративных сетей.
Mitigation Guide: Linux Kernel "Dirty Frag" (CVE-2026- ...
Comments
0 comments