Wprowadzenie do problemu / definicja
Krytyczna podatność w platformie F5 BIG-IP, oznaczona jako CVE-2025-53521, została ponownie oceniona po uzyskaniu nowych informacji o sposobie jej wykorzystania. Błąd, który pierwotnie klasyfikowano jako problem typu denial-of-service, został podniesiony do kategorii zdalnego wykonania kodu. Taka zmiana istotnie wpływa na priorytet obsługi incydentu, ponieważ RCE oznacza możliwość przejęcia kontroli nad podatnym systemem przez atakującego bez konieczności uzyskania wcześniejszego dostępu administracyjnego.
W skrócie
CVE-2025-53521 dotyczy wybranych wersji F5 BIG-IP Access Policy Manager. Podatność została ujawniona wcześniej jako luka DoS, jednak po analizie informacji pozyskanych w marcu 2026 roku producent przeklasyfikował ją do RCE i nadał jej ocenę CVSS 9.8. Jednocześnie potwierdzono aktywne wykorzystanie błędu w środowiskach rzeczywistych. Podatne pozostają określone gałęzie wersji 15.x, 16.x, 17.1.x oraz 17.5.x, a producent zaleca niezwłoczną aktualizację do wersji poprawionych oraz weryfikację wskaźników kompromitacji.
- podatność została podniesiona z klasy DoS do RCE,
- ocena ryzyka wzrosła do poziomu krytycznego,
- potwierdzono aktywne wykorzystanie luki,
- zagrożone są publicznie dostępne instancje BIG-IP APM.
Kontekst / historia
Luka została pierwotnie opisana w październiku 2025 roku jako błąd powodujący odmowę usługi w komponencie BIG-IP Access Policy Manager. W tamtym momencie ryzyko uznawano za wysokie, ale ograniczone do destabilizacji usługi. Sytuacja zmieniła się po ponownej analizie danych operacyjnych i telemetrycznych, które doprowadziły do aktualizacji klasyfikacji w marcu 2026 roku.
To istotny przykład problemu, w którym początkowa ocena podatności nie odzwierciedla pełnego potencjału nadużycia. W praktyce takie przypadki są szczególnie niebezpieczne dla organizacji, które opierają proces patch management wyłącznie na pierwotnym opisie CVE. jeżeli podatność została wcześniej potraktowana jako mniej krytyczna, mogła pozostać niezałatana w urządzeniach brzegowych przez wiele miesięcy.
Dodatkowym czynnikiem podnoszącym wagę incydentu jest wpisanie CVE-2025-53521 do katalogu podatności aktywnie wykorzystywanych. Taki status oznacza, iż zagrożenie należy traktować nie jako hipotetyczne, ale jako realne i bieżące ryzyko operacyjne.
Analiza techniczna
Z technicznego punktu widzenia podatność może zostać wykorzystana poprzez przesłanie specjalnie przygotowanego ruchu do serwerów wirtualnych skonfigurowanych z BIG-IP APM. Skutkiem udanego ataku może być zdalne wykonanie kodu na urządzeniu. Dla zespołów bezpieczeństwa oznacza to ryzyko pełnego naruszenia integralności systemu po stronie warstwy dostępowej lub aplikacyjnej.
Zakres podatnych wersji obejmuje wybrane wydania z linii 15.1.x, 16.1.x, 17.1.x oraz 17.5.x. Istotne jest również to, iż tryb appliance mode nie eliminuje ryzyka wykorzystania tej luki. Ograniczenie dostępu administracyjnego nie neutralizuje samego wektora ataku, ponieważ podatność może być osiągalna przez ruch kierowany do odpowiednio skonfigurowanych usług.
Producent opublikował także wskaźniki kompromitacji powiązane z aktywnością po eksploatacji. Wśród sygnałów ostrzegawczych wymieniane są nietypowe pliki w systemie plików, między innymi artefakty w katalogu /run, a także rozbieżności w rozmiarach, skrótach i znacznikach czasu dla kluczowych plików binarnych. Z perspektywy DFIR oznacza to konieczność nie tylko przeglądu logów, ale również walidacji integralności plików systemowych oraz analizy śladów pozostawianych przez implanty lub narzędzia post-exploitation.
Zaobserwowano również aktywność rozpoznawczą wymierzoną w interfejsy REST API urządzeń BIG-IP. Tego typu skanowanie może służyć fingerprintingowi instancji, identyfikacji konkretnych wdrożeń oraz selekcji celów do dalszych prób eksploatacji. W praktyce wskazuje to, iż zagrożenie nie ogranicza się do pojedynczej kampanii, ale może obejmować szerszy ekosystem aktorów testujących dostępne techniki ataku.
Konsekwencje / ryzyko
Ryzyko związane z CVE-2025-53521 jest wysokie, ponieważ dotyczy systemów często pełniących rolę krytycznych punktów kontrolnych w infrastrukturze przedsiębiorstwa. F5 BIG-IP bywa wykorzystywany do zarządzania ruchem, publikacji aplikacji, egzekwowania polityk dostępu oraz terminacji połączeń. Kompromitacja takiego elementu może otworzyć drogę do dalszej penetracji środowiska.
- przejęcie kontroli nad urządzeniem brzegowym,
- instalację złośliwego systemu lub trwałych mechanizmów dostępu,
- przechwytywanie lub modyfikację ruchu aplikacyjnego,
- wykorzystanie urządzenia jako punktu pivotingu do sieci wewnętrznej,
- naruszenie poufności danych uwierzytelniających i sesyjnych,
- utratę integralności usług opartych na APM.
Szczególnie niebezpieczne jest to, iż urządzenia tej klasy często mają wysoką widoczność sieciową i uprzywilejowaną pozycję architektoniczną. W rezultacie udane RCE może mieć skutki znacznie szersze niż klasyczna kompromitacja pojedynczego hosta aplikacyjnego.
Rekomendacje
Organizacje korzystające z F5 BIG-IP powinny potraktować ten przypadek jako incydent wysokiego priorytetu i wdrożyć działania w kilku równoległych strumieniach.
Po pierwsze, należy niezwłocznie zidentyfikować wszystkie instancje BIG-IP APM działające w podatnych wersjach i zaplanować aktualizację do wersji naprawionych. Samo ograniczenie ekspozycji administracyjnej nie powinno być traktowane jako wystarczające zabezpieczenie.
Po drugie, warto przeprowadzić aktywne polowanie na oznaki kompromitacji, obejmujące:
- analizę logów HTTP i zdarzeń systemowych,
- przegląd nietypowych żądań kierowanych do interfejsów zarządzania i REST API,
- kontrolę integralności wskazanych plików binarnych,
- wyszukiwanie artefaktów w katalogach tymczasowych i wykonawczych,
- porównanie hashy z obrazami referencyjnymi,
- ocenę ewentualnych mechanizmów persistence.
Po trzecie, zalecane jest wdrożenie krótkoterminowych środków ograniczających ryzyko, takich jak zawężenie dostępu sieciowego do usług BIG-IP, segmentacja ruchu administracyjnego, dodatkowe monitorowanie telemetryczne oraz korelacja zdarzeń w SIEM pod kątem anomalii związanych z ruchem do urządzeń F5.
Po czwarte, zespoły bezpieczeństwa powinny przyjąć założenie możliwej kompromitacji dla systemów długo nieaktualizowanych lub publicznie eksponowanych. W takich przypadkach sama aktualizacja nie zamyka tematu — konieczna jest również analiza śledcza i ocena wpływu na środowisko.
Podsumowanie
CVE-2025-53521 to przykład podatności, której rzeczywista waga okazała się znacznie większa niż wynikało z pierwotnej klasyfikacji. Przeklasyfikowanie z DoS do RCE, wysoka ocena CVSS oraz potwierdzenie aktywnego wykorzystania sprawiają, iż jest to w tej chwili krytyczny problem operacyjny dla użytkowników F5 BIG-IP APM. Najważniejsze działania to szybkie łatanie, przegląd wskaźników kompromitacji oraz potraktowanie urządzeń brzegowych jako potencjalnie naruszonych, jeżeli aktualizacje nie zostały wdrożone na czas.
Źródła
- Dark Reading – F5 BIG-IP Vulnerability Reclassified as RCE, Under Exploitation
https://www.darkreading.com/application-security/f5-big-ip-vulnerability-reclassified-rce-exploitation - F5 Security Advisory for CVE-2025-53521
https://my.f5.com/manage/s/article/K000000000 - CISA Known Exploited Vulnerabilities Catalog
https://www.cisa.gov/known-exploited-vulnerabilities-catalog