GreyNoise observe un pic de crawling ciblant F5 BIG-IP après un incident annoncé

GreyNoise, via son blog, décrit des anomalies de trafic ciblant F5 BIG-IP, avec une hausse du crawling détectée le 15 octobre à 18:41 EST après l’annonce d’un incident de sécurité. Le trafic provient majoritairement de chercheurs et d’institutions académiques, notamment Cortex Xpanse, et cible des capteurs basés aux États-Unis et en France.

Les observations antérieures incluent des anomalies le 14 octobre visant des systèmes sud-africains, et le 23 septembre touchant principalement des actifs américains. La plupart des flux correspondent à de la reconnaissance et du crawling, avec très peu de tentatives d’exécution de code contre les interfaces de gestion BIG-IP.

Côté technique, le trafic ciblé sur des profils BIG-IP présente des empreintes TCP spécifiques, dont des paquets SYN-only observés le 14 octobre en provenance d’un hébergeur turc, et des séquences attribuées le 23 septembre à une origine DigitalOcean. Des empreintes HTTP distinctes ont été associées à l’activité de septembre. GreyNoise poursuit la surveillance via sa plateforme Visualizer. 🔎

• IOCs observés

  • Empreintes TCP: 64240 2-1-3-1-1-4 1460 8 (14 octobre, SYN-only, hébergeur turc); 64240 2-4-8-1-3 1460 7 (23 septembre, origine DigitalOcean)
  • Empreintes HTTP: ge11nn030000 fe444ad14866; ge11nn040000 e1d2031bdfea; ge11nr040000_e1d2031bdfea
  • Contextes géo et sources: capteurs US et France (15 oct); systèmes Afrique du Sud (14 oct); actifs US (23 sept)

• TTPs

  • Reconnaissance réseau et crawling d’infrastructures F5 BIG-IP 🛰️
  • Ciblage des interfaces de gestion BIG-IP
  • Utilisation de paquets SYN-only et empreintes TCP/HTTP spécifiques
  • Activité majoritairement issue de chercheurs et milieux académiques (dont Cortex Xpanse)

Type de contenu: analyse de menace visant à documenter des activités de reconnaissance, leurs empreintes réseau et leur chronologie, sans indication d’exploitation active à grande échelle.

🧠 TTPs et IOCs détectés

TTPs

Reconnaissance réseau et crawling d’infrastructures F5 BIG-IP, Ciblage des interfaces de gestion BIG-IP, Utilisation de paquets SYN-only et empreintes TCP/HTTP spécifiques, Activité majoritairement issue de chercheurs et milieux académiques

IOCs

Empreintes TCP: 64240 2-1-3-1-1-4 1460 8 (14 octobre, SYN-only, hébergeur turc); 64240 2-4-8-1-3 1460 7 (23 septembre, origine DigitalOcean); Empreintes HTTP: ge11nn030000 fe444ad14866; ge11nn040000 e1d2031bdfea; ge11nr040000_e1d2031bdfea

---

🔗 Source originale : https://www.greynoise.io/blog/recent-observations-around-f5

🖴 Archive : https://web.archive.org/web/20251016073930/https://www.greynoise.io/blog/recent-observations-around-f5