Злоумышленники атакуют BIG-IP APM через уязвимость удалённого выполнения кода (CVE-2025-53521)
Критическая уязвимость удалённого выполнения кода без аутентификации (CVE-2025-53521) в решении BIG-IP Access Policy Manager (APM) компании F5 активно эксплуатируется, предупредило в пятницу Агентство США по кибербезопасности и безопасности инфраструктуры.
CISA добавила эту уязвимость в свой каталог известных эксплуатируемых уязвимостей после того, как F5 обновила связанный с ней консультативный бюллетень по безопасности.
Первоначально бюллетень был опубликован 15 октября 2025 года, когда F5 подтвердила утечку данных, в результате которой «высококвалифицированный угрозовый актор, связанный с государством», получил доступ, среди прочего, к исходному коду BIG-IP и информации о нераскрытых уязвимостях.
Позже выяснилось, что атакующие связаны с Китаем, находились в сети компании не менее 12 месяцев и могли развернуть бэкдор Brickstorm в системах клиентов F5.
Об уязвимости CVE-2025-53521
F5 BIG-IP APM обеспечивает применение политик доступа для защиты доступа к приложениям, API и данным. В основном используется предприятиями, финансовыми учреждениями, государственными и общественными организациями.
CVE-2025-53521 затрагивает процесс apmd, который обрабатывает живой трафик, в версиях BIG-IP APM с 17.5.0 до 17.5.1, с 17.1.0 до 17.1.2, с 16.1.0 до 16.1.6 и с 15.1.0 до 15.1.10.
Изначально считалось, что CVE-2025-53521 может привести только к нарушению нормального функционирования систем BIG-IP APM (то есть к «отказу в обслуживании»).
«В связи с новой информацией, полученной в марте 2026 года, первоначальная уязвимость была переклассифицирована в RCE с оценками CVSS 9.8 (CVSS v3.1) и 9.3 (CVSS v4.0)», — сообщает F5 сейчас.
«Когда политика доступа BIG-IP APM настроена на виртуальном сервере, определённый вредоносный трафик может привести к удалённому выполнению кода. Система BIG-IP в режиме Appliance также уязвима.»
Однако патчи, предоставленные компанией в октябре 2025 года, работают как задумано, и клиенты, которые быстро обновились до одной из исправленных версий, могли избежать компрометации.
Индикаторы компрометации доступны
К сожалению, в бюллетене не указано, когда началась эксплуатация уязвимости, говорится лишь, что она была обнаружена в марте 2026 года. Таким образом, возможно, что некоторые из систем BIG-IP APM могли быть скомпрометированы до установки исправлений.
Компания F5 опубликовала перечень известных индикаторов компрометации, связанных с «вредоносным программным обеспечением c05d5254» и сопутствующей активностью, и настоятельно рекомендует клиентам проверить свои системы BIG-IP.
Клиенты могут обнаружить определённые файлы на диске, изменения в файлах, записи в журналах, указывающие на отключение локальным пользователем модуля безопасности SELinux, а также специфический HTTP/S-трафик, исходящий от системы BIG-IP.
«Мы наблюдали случаи записи веб-шеллов на диск; однако было отмечено, что эти веб-шеллы функционируют исключительно в оперативной памяти, что означает, что перечисленные [в документе] файлы могут быть не изменены», — отметила компания.
F5 также обнаружила, что злоумышленник вносит изменения, влияющие на работу sys-eicheck, средства проверки целостности системы BIG-IP.
«На текущий момент мы понимаем, что злоумышленник модифицировал [определённые] компоненты в одном разделе (была скомпрометирована исходная рабочая версия), но не смог внести те же изменения во втором разделе (цель для обновления). Когда клиент выполнил обновление и перезагрузился во второй раздел, изменения компонентов sys-eicheck не сохранились».
CISA предписала федеральным гражданским агентствам США оценить степень подверженности и устранить риски, связанные с эксплуатацией уязвимости CVE-2025-53521, до понедельника (30 марта).
Подпишитесь на нашу экстренную e-mail рассылку, чтобы всегда быть в курсе последних утечек данных, уязвимостей и киберугроз. Подписаться можно здесь!