Ponad 14 tys. instancji F5 BIG-IP APM nadal narażonych na ataki RCE - Security Bez Tabu

Ponad 14 tys. instancji F5 BIG-IP APM nadal narażonych na ataki RCE

Cybersecurity news

Wprowadzenie do problemu / definicja

F5 BIG-IP APM to rozwiązanie klasy access proxy oraz platforma egzekwowania polityk dostępu, stosowana do ochrony użytkowników, aplikacji i interfejsów API. W centrum uwagi znalazła się podatność CVE-2025-53521, dotycząca wdrożeń BIG-IP APM z odpowiednio skonfigurowaną polityką dostępu przypisaną do virtual servera.

Choć luka początkowo była opisywana jako problem prowadzący do odmowy usługi, późniejsza analiza wykazała możliwość zdalnego wykonania kodu. Taka zmiana klasyfikacji znacząco podnosi poziom ryzyka i wymaga od organizacji ponownej oceny ekspozycji.

W skrócie

Ponad 14 tys. publicznie dostępnych instancji F5 BIG-IP APM pozostaje narażonych na ataki wykorzystujące CVE-2025-53521. Podatność jest aktywnie wykorzystywana, a jej charakter sprawia, że atak może zostać przeprowadzony zdalnie, bez uwierzytelnienia i bez interakcji użytkownika.

  • zagrożone są wdrożenia BIG-IP APM w podatnych wersjach,
  • kluczowe znaczenie ma obecność polityki dostępu na virtual serverze,
  • luka została przeklasyfikowana z DoS do RCE,
  • problem trafił do katalogu aktywnie wykorzystywanych podatności.

Kontekst / historia

CVE-2025-53521 ujawniono w 2025 roku, jednak realna waga problemu wzrosła po aktualizacji klasyfikacji w marcu 2026 roku. To istotne, ponieważ część organizacji mogła wcześniej potraktować tę słabość wyłącznie jako ryzyko zakłócenia dostępności, a nie potencjalną drogę do pełnej kompromitacji urządzenia.

Wpisanie podatności do katalogu Known Exploited Vulnerabilities oraz krótki termin wyznaczony na zabezpieczenie systemów federalnych w USA wskazują, że zagrożenie ma charakter operacyjny. W przypadku urządzeń F5 BIG-IP, które często pełnią rolę krytycznego punktu kontroli ruchu i uwierzytelniania, konsekwencje mogą być szczególnie poważne.

Analiza techniczna

Z technicznego punktu widzenia CVE-2025-53521 umożliwia zdalne wykonanie kodu w scenariuszu, gdy polityka dostępu APM została przypięta do virtual servera, a urządzenie odbiera odpowiednio spreparowany ruch. Wektor ataku wskazuje na możliwość wykorzystania przez sieć, przy niskiej złożoności, bez wymaganych uprawnień i bez udziału użytkownika końcowego.

Zmiana klasyfikacji z DoS na RCE nie oznacza pojawienia się nowej luki, lecz nową ocenę skutków tej samej słabości. To ważne rozróżnienie, ponieważ organizacje, które wcześniej uznały problem za ograniczony do stabilności usług, powinny obecnie traktować go jako potencjalną ścieżkę przejęcia urządzenia.

BIG-IP APM działa zwykle na styku Internetu i sieci wewnętrznej, dlatego skuteczne wykorzystanie podatności może otworzyć napastnikowi drogę do uruchomienia kodu na systemie pośredniczącym w ruchu uwierzytelniającym. W praktyce może to oznaczać analizę konfiguracji, zmianę reguł ruchu, przejęcie danych uwierzytelniających oraz dalsze poruszanie się w głąb infrastruktury.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem jest możliwość przejęcia urządzenia brzegowego obsługującego krytyczne procesy dostępu. Taki incydent może przełożyć się nie tylko na samo urządzenie, ale również na wiele zależnych systemów i usług.

  • utrata poufności danych uwierzytelniających i danych sesyjnych,
  • modyfikacja polityk dostępu lub konfiguracji proxy,
  • utworzenie persystencji w urządzeniu lub kopiach konfiguracji,
  • wykorzystanie BIG-IP jako punktu pivot do dalszych działań w sieci,
  • zakłócenie ciągłości działania usług dostępowych.

Szczególnie istotne jest ryzyko związane z kopiami UCS. Jeśli backup wykonano już po kompromitacji, jego przywrócenie może odtworzyć złośliwe artefakty albo niepożądaną konfigurację. W efekcie standardowe podejście oparte wyłącznie na odtwarzaniu systemu z kopii zapasowej może okazać się niewystarczające.

Ryzyko biznesowe pozostaje wysokie także dlatego, że BIG-IP często stanowi element wspólnej infrastruktury dla wielu aplikacji, usług publikowanych do Internetu, zdalnego dostępu i komunikacji API. Jedno naruszenie może więc wywołać efekt kaskadowy.

Rekomendacje

Organizacje korzystające z F5 BIG-IP APM powinny potraktować tę podatność priorytetowo i prowadzić działania równolegle w kilku obszarach. Kluczowe jest szybkie ustalenie, czy podatna konfiguracja występuje w środowisku oraz czy nie doszło już do naruszenia.

  • zweryfikować wersję oprogramowania i obecność polityk APM na virtual serverach,
  • niezwłocznie wdrożyć poprawki dostawcy lub oficjalne środki zaradcze,
  • przeprowadzić analizę logów, historii poleceń i aktywności administracyjnej,
  • sprawdzić integralność kont administracyjnych oraz konfiguracji,
  • porównać bieżący stan urządzenia z konfiguracją referencyjną,
  • ostrożnie traktować backupy UCS, jeśli nie da się ustalić momentu kompromitacji,
  • ograniczyć dostęp administracyjny do wybranych adresów i sieci zarządzających,
  • segmentować interfejsy zarządzania oraz centralizować logi w systemie SIEM.

W przypadku wykrycia oznak włamania zalecane jest odtworzenie urządzenia z zaufanego źródła lub pełna przebudowa konfiguracji. Samo przywrócenie niezweryfikowanej kopii może utrwalić obecność napastnika w środowisku.

Podsumowanie

CVE-2025-53521 pokazuje, jak duże znaczenie ma ciągła rewaluacja podatności, zwłaszcza gdy zmienia się ich klasyfikacja i rzeczywisty poziom zagrożenia. W przypadku F5 BIG-IP APM skala internetowej ekspozycji pozostaje wysoka, a luka jest już wykorzystywana w praktyce.

Dla zespołów bezpieczeństwa oznacza to konieczność natychmiastowej weryfikacji wersji, konfiguracji APM, potencjalnych śladów kompromitacji oraz jakości kopii zapasowych. W środowiskach, w których BIG-IP pełni funkcję krytycznego punktu dostępowego, opóźnienie reakcji może skutkować pełnoskalowym naruszeniem infrastruktury.

Źródła

  1. Over 14,000 F5 BIG-IP APM instances still exposed to RCE attacks — https://www.bleepingcomputer.com/news/security/over-14-000-f5-big-ip-apm-instances-still-exposed-to-rce-attacks/
  2. NVD – CVE-2025-53521 Detail — https://nvd.nist.gov/vuln/detail/CVE-2025-53521
  3. CISA Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-53521
  4. F5 Security Advisory for CVE-2025-53521 — https://my.f5.com/manage/s/article/K000156741
  5. Shadowserver BIG-IP APM Exposure Statistics — https://dashboard.shadowserver.org/statistics/combined/exposed-big-ip-apm/