Aktywnie wykorzystywana luka RCE w F5 BIG-IP APM. Pilna aktualizacja i kontrola kompromitacji - Security Bez Tabu

Aktywnie wykorzystywana luka RCE w F5 BIG-IP APM. Pilna aktualizacja i kontrola kompromitacji

Cybersecurity news

Wprowadzenie do problemu / definicja

Urządzenia F5 BIG-IP odgrywają kluczową rolę w infrastrukturze brzegowej, zarządzaniu ruchem i egzekwowaniu polityk dostępu. Szczególne znaczenie ma moduł BIG-IP Access Policy Manager (APM), który odpowiada za kontrolę dostępu do aplikacji, usług i zasobów sieciowych. Właśnie tego komponentu dotyczy podatność CVE-2025-53521, która została przeklasyfikowana z błędu powodującego odmowę usługi do znacznie poważniejszej luki umożliwiającej zdalne wykonanie kodu.

Zmiana oceny zagrożenia istotnie podnosi poziom ryzyka dla organizacji korzystających z F5 BIG-IP APM. W praktyce oznacza to, że podatne, niezałatane urządzenia mogą stać się bezpośrednim punktem wejścia dla napastników, bez potrzeby wcześniejszego uwierzytelnienia w określonych scenariuszach konfiguracyjnych.

W skrócie

Podatność CVE-2025-53521 dotyczy systemów F5 BIG-IP APM i może prowadzić do zdalnego wykonania kodu na urządzeniach wystawionych do sieci. Producent potwierdził aktywne wykorzystanie luki w rzeczywistych atakach, a dodatkowo wskazano przypadki instalowania webshelli na przejętych systemach.

  • luka dotyczy BIG-IP APM,
  • może być wykorzystywana bez wcześniejszego uwierzytelnienia w określonych konfiguracjach,
  • potwierdzono aktywne ataki,
  • na zainfekowanych urządzeniach obserwowano webshelle,
  • problem został uwzględniony w katalogu Known Exploited Vulnerabilities.

Kontekst / historia

CVE-2025-53521 początkowo była opisywana jako podatność prowadząca do odmowy usługi. Dopiero późniejsze analizy i informacje operacyjne doprowadziły do przeklasyfikowania jej do kategorii zdalnego wykonania kodu. Taka zmiana ma ogromne znaczenie, ponieważ przesuwa ciężar zagrożenia z zakłócenia dostępności usług na pełną kompromitację systemu bezpieczeństwa znajdującego się na styku internetu i sieci wewnętrznej.

Urządzenia F5 BIG-IP od lat pozostają atrakcyjnym celem dla cyberprzestępców i grup sponsorowanych przez państwa. Wynika to z ich pozycji architektonicznej: pośredniczą w ruchu aplikacyjnym, obsługują zdalny dostęp, integrują usługi tożsamości i często mają uprzywilejowany wgląd w krytyczne procesy organizacji. Kompromitacja takiego komponentu może stanowić pierwszy etap szerszego naruszenia bezpieczeństwa.

Analiza techniczna

Z dostępnych informacji wynika, że podatność może zostać wykorzystana wobec systemów BIG-IP APM, w których skonfigurowano polityki dostępu przypisane do serwera wirtualnego. Kluczowym elementem jest brak konieczności uprzedniego uwierzytelnienia, co znacząco obniża próg wejścia dla atakującego i zwiększa ryzyko masowego skanowania oraz automatyzacji ataków.

Najbardziej niepokojącym aspektem obecnej fali incydentów jest instalowanie webshelli na przejętych urządzeniach. Taki mechanizm pozwala napastnikom utrzymać trwały dostęp do systemu, wykonywać polecenia, pobierać kolejne ładunki, analizować konfigurację, pozyskiwać dane uwierzytelniające oraz przygotowywać ruch lateralny do dalszych segmentów infrastruktury.

Z perspektywy obrony istotne jest to, że samo wdrożenie poprawki może nie wystarczyć. Jeżeli urządzenie zostało już naruszone przed aktualizacją, organizacja musi potraktować je jako potencjalnie przejęte. W takiej sytuacji konieczna jest analiza logów, historii poleceń, artefaktów na dysku oraz wszelkich śladów pozostawionych przez webshelle lub nietypowe działania administracyjne.

Typowy scenariusz ataku może obejmować rozpoznanie publicznie dostępnych instancji BIG-IP, identyfikację systemów podatnych, wykorzystanie luki do uruchomienia kodu, pozostawienie trwałego mechanizmu dostępu, a następnie eksplorację środowiska i próbę przejścia do kolejnych systemów. Ze względu na strategiczne położenie urządzeń BIG-IP taki atak może zapewnić szeroką widoczność i uprzywilejowany dostęp do ruchu oraz usług biznesowych.

Konsekwencje / ryzyko

Ryzyko związane z CVE-2025-53521 należy ocenić jako bardzo wysokie. Podatność jest aktywnie wykorzystywana, dotyczy krytycznego komponentu infrastruktury dostępowej i może prowadzić do trwałej kompromitacji urządzenia. To oznacza, że konsekwencje nie ograniczają się do chwilowej niedostępności usług, lecz obejmują utratę kontroli nad systemem bezpieczeństwa.

  • przejęcie kontroli nad urządzeniem brzegowym,
  • podsłuchiwanie lub przekierowywanie ruchu,
  • wyciek danych konfiguracyjnych i informacji o topologii środowiska,
  • kradzież poświadczeń, tokenów sesyjnych lub innych sekretów,
  • wykorzystanie urządzenia jako punktu wejścia do sieci wewnętrznej,
  • naruszenie integralności polityk dostępu i mechanizmów bezpieczeństwa,
  • zwiększenie ryzyka ruchu lateralnego i wdrożenia dodatkowego malware.

W środowiskach enterprise skutki mogą być jeszcze poważniejsze, ponieważ BIG-IP bywa zintegrowany z systemami IAM, portalami VPN, aplikacjami biznesowymi, interfejsami API i usługami chmurowymi. Naruszenie takiego elementu może więc prowadzić zarówno do incydentu operacyjnego, jak i do konsekwencji regulacyjnych związanych z ochroną danych oraz obowiązkami raportowymi.

Rekomendacje

Organizacje korzystające z F5 BIG-IP APM powinny potraktować ten problem jako priorytet operacyjny i bezpieczeństwa. Działania naprawcze powinny obejmować nie tylko aktualizację, ale również pełną ocenę, czy eksploatacja nie nastąpiła przed wdrożeniem poprawek.

  • niezwłocznie zastosować poprawki producenta w wersjach oznaczonych jako naprawione,
  • zweryfikować, czy na urządzeniach istnieją konfiguracje APM z politykami dostępu przypisanymi do serwerów wirtualnych,
  • przeanalizować opublikowane wskaźniki kompromitacji i wdrożyć je do systemów monitorowania,
  • sprawdzić logi systemowe, logi dostępu, historię poleceń i system plików pod kątem webshelli oraz nietypowych artefaktów,
  • odizolować urządzenia z oznakami naruszenia i uruchomić procedury reagowania na incydent,
  • przeprowadzić rotację poświadczeń administracyjnych, kluczy i sekretów, jeśli istnieje podejrzenie dostępu napastnika,
  • ograniczyć ekspozycję interfejsów zarządzających wyłącznie do zaufanych segmentów administracyjnych,
  • włączyć dodatkowy monitoring zmian konfiguracji, wywołań API i prób uruchamiania poleceń systemowych,
  • ocenić, czy kompromitacja urządzenia mogła umożliwić dostęp do innych systemów,
  • przygotować procedury odbudowy urządzeń z zaufanych obrazów i zweryfikowanej konfiguracji.

W praktyce samo załatanie systemu nie zamyka incydentu. Jeżeli exploit został użyty wcześniej, konieczne może być pełne odtworzenie urządzenia, ponowna walidacja konfiguracji oraz odbudowa zaufania do całego komponentu.

Podsumowanie

CVE-2025-53521 pokazuje, jak groźna może być zmiana klasyfikacji podatności po pojawieniu się nowych danych operacyjnych. Przeklasyfikowanie błędu z DoS do RCE, potwierdzenie aktywnej eksploatacji oraz informacje o instalowaniu webshelli sprawiają, że problem należy traktować z najwyższym priorytetem.

Dla zespołów bezpieczeństwa oznacza to konieczność połączenia dwóch równoległych działań: szybkiego wdrożenia aktualizacji oraz dokładnej oceny, czy urządzenia nie zostały już skompromitowane. W przypadku systemów BIG-IP APM opóźnienie reakcji może prowadzić do utraty kontroli nad jednym z najważniejszych punktów infrastruktury dostępowej.

Źródła

  1. BleepingComputer – Hackers now exploit critical F5 BIG-IP flaw in attacks, patch now — https://www.bleepingcomputer.com/news/security/hackers-now-exploit-critical-f5-big-ip-flaw-in-attacks-patch-now/
  2. National Vulnerability Database – CVE-2025-53521 — https://nvd.nist.gov/vuln/detail/CVE-2025-53521
  3. F5 Labs – Weekly Threat Bulletin – March 11th, 2026 — https://www.f5.com/labs/articles/weekly-threat-bulletin-march-11th-2026
  4. CISA – Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog