Wprowadzenie do problemu / definicja
F5 BIG-IP Access Policy Manager (APM) to rozwiązanie wykorzystywane do egzekwowania polityk dostępu, uwierzytelniania użytkowników oraz bezpiecznego publikowania usług krytycznych. Z tego powodu każda poważna podatność w tym komponencie może bezpośrednio przełożyć się na bezpieczeństwo całej warstwy dostępowej organizacji.
Szczególne zagrożenie stanowi w tej chwili luka CVE-2025-53521, która została przeklasyfikowana z podatności typu Denial of Service do krytycznego błędu umożliwiającego zdalne wykonanie kodu. Taka zmiana znacząco podnosi wagę problemu, zwłaszcza iż podatność jest już aktywnie wykorzystywana przez atakujących.
W skrócie
Atakujący aktywnie wykorzystują lukę CVE-2025-53521 w środowiskach F5 BIG-IP APM. Problem występuje w scenariuszach, w których na serwerze wirtualnym skonfigurowano politykę dostępu, a odpowiednio przygotowany ruch może doprowadzić do zdalnego wykonania kodu.
- podatność dotyczy F5 BIG-IP APM w określonej konfiguracji,
- klasyfikacja została podniesiona z DoS do RCE,
- luka trafiła do katalogu aktywnie wykorzystywanych podatności,
- w Internecie przez cały czas widocznych jest ponad 14 tysięcy instancji F5 BIG-IP APM,
- priorytet działań naprawczych powinien być traktowany jako krytyczny.
Kontekst / historia
Podatność została ujawniona wcześniej jako problem mogący prowadzić do zakłócenia działania usługi. Dopiero dalsza analiza techniczna przeprowadzona w marcu 2026 roku doprowadziła do zmiany oceny wpływu i uznania błędu za lukę umożliwiającą zdalne wykonanie kodu.
To istotna zmiana z perspektywy operacyjnej. W przypadku DoS organizacje często nadają poprawkom niższy priorytet niż przy podatnościach RCE. Tymczasem w tym przypadku ten sam problem okazał się znacznie groźniejszy, ponieważ może prowadzić nie tylko do niedostępności usług, ale również do przejęcia kontroli nad urządzeniem brzegowym.
Dodatkowym czynnikiem ryzyka jest szeroka ekspozycja systemów BIG-IP APM dostępnych publicznie. W wielu organizacjach rozwiązanie to pełni rolę punktu wejścia do aplikacji biznesowych, usług VPN oraz mechanizmów federacyjnych, co znacząco zwiększa atrakcyjność celu dla cyberprzestępców.
Analiza techniczna
CVE-2025-53521 dotyczy środowisk F5 BIG-IP APM, w których na serwerze wirtualnym aktywna jest polityka dostępu. W takim układzie specjalnie spreparowany ruch sieciowy może doprowadzić do wykonania kodu po stronie podatnego systemu.
Z technicznego punktu widzenia szczególnie ważne są trzy aspekty. Po pierwsze, podatność nie wynika wyłącznie z samej obecności platformy BIG-IP, ale z określonej konfiguracji modułu APM. Po drugie, exploitacja odbywa się zdalnie, co obniża próg wejścia dla napastników. Po trzecie, potwierdzona aktywna eksploatacja wskazuje, iż dostępne są praktyczne metody wykorzystania luki.
Nie każda instancja wystawiona do Internetu musi być podatna w identycznym stopniu. O realnym poziomie zagrożenia decydują między innymi wersja oprogramowania, stan wdrożenia poprawek, konfiguracja polityk dostępu oraz to, czy dane środowisko pozostaje objęte wsparciem producenta. Mimo to skala publicznej ekspozycji pokazuje, iż powierzchnia potencjalnego ataku pozostaje bardzo duża.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem skutecznego wykorzystania luki jest przejęcie kontroli nad komponentem odpowiedzialnym za kontrolę dostępu i pośredniczenie w uwierzytelnianiu. Taki incydent może mieć skutki wykraczające daleko poza samo urządzenie brzegowe.
- uruchamianie dowolnych poleceń na urządzeniu,
- manipulacja ruchem uwierzytelniającym,
- pozyskanie danych sesyjnych i informacji konfiguracyjnych,
- dalsza penetracja sieci wewnętrznej,
- zakłócenie działania usług publikowanych przez BIG-IP.
Ryzyko jest szczególnie wysokie tam, gdzie BIG-IP APM odpowiada za dostęp do aplikacji biznesowych, środowisk zdalnych lub usług tożsamości. Kompromitacja takiego systemu może otworzyć napastnikom drogę do ruchu uprzywilejowanego i jednocześnie utrudnić detekcję, ponieważ atak dotyczy elementu kontrolującego dostęp do innych zasobów.
Rekomendacje
Organizacje wykorzystujące F5 BIG-IP APM powinny potraktować CVE-2025-53521 jako podatność o najwyższym priorytecie i wdrożyć działania zaradcze w trybie pilnym.
- zidentyfikować wszystkie instancje BIG-IP APM wystawione do Internetu,
- zweryfikować wersje systemu oraz stan wdrożenia poprawek,
- zastosować poprawki bezpieczeństwa producenta dla wspieranych wersji,
- sprawdzić, czy na serwerach wirtualnych aktywne są polityki dostępu zwiększające powierzchnię ataku,
- ograniczyć dostęp do interfejsów administracyjnych wyłącznie do zaufanych adresów i segmentów sieci,
- włączyć wzmożony monitoring logów APM oraz nietypowych prób dostępu,
- przeprowadzić przegląd wskaźników kompromitacji dla systemów dostępnych publicznie,
- przygotować procedurę izolacji urządzenia, rotacji poświadczeń i weryfikacji integralności konfiguracji.
Z perspektywy zespołów SOC i IR warto dodatkowo skorelować logi z BIG-IP z danymi z zapór sieciowych, systemów EDR i usług tożsamości. Każda anomalia związana z urządzeniem pełniącym rolę bramy dostępowej powinna być traktowana jako potencjalny incydent wysokiego ryzyka.
Podsumowanie
CVE-2025-53521 to przykład podatności, której rzeczywista waga wzrosła po ponownej analizie technicznej. Zmiana klasyfikacji z DoS na RCE oraz potwierdzenie aktywnej eksploatacji całkowicie zmieniają ocenę ryzyka dla organizacji korzystających z F5 BIG-IP APM.
Przy dużej liczbie publicznie widocznych instancji każda zwłoka w aktualizacji zwiększa prawdopodobieństwo incydentu. Priorytetem powinny być szybka identyfikacja narażonych systemów, wdrożenie poprawek oraz aktywne poszukiwanie oznak kompromitacji.
Źródła
- Security Affairs — Attackers Exploit RCE Flaw as 14,000 F5 BIG-IP APM Instances Remain Exposed — https://securityaffairs.com/190384/security/attackers-exploit-rce-flaw-as-14000-f5-big-ip-apm-instances-remain-exposed.html
- CVE Record — CVE-2025-53521 — https://www.cve.org/CVERecord?id=CVE-2025-53521
- F5 Security Advisory — K000153753 — https://my.f5.com/manage/s/article/K000153753
- CISA Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- Shadowserver — F5 BIG-IP APM Exposure Statistics — https://dashboard.shadowserver.org/statistics/combined/map/?type=scan&tag=f5-bigip-apm
