米国のサイバーセキュリティ機関CISAは金曜日に、脅威行為者がF5 BIG-IPの重大な脆弱性を野生環境で悪用していると警告しました。
CVE-2025-53521として追跡されている(CSSスコア9.3)この脆弱性は、2025年10月に高重大度のサービス拒否(DoS)問題として公開されていましたが、先週リモートコード実行(RCE)脆弱性に再分類されました。
F5は元のアドバイザリをバグの重大性を反映するために更新し、攻撃者がアクセスポリシーが設定されたバーチャルサーバー上のBIG-IP APMシステムでそれを悪用できることに注意しています。
「この脆弱性により、認証されていない攻撃者がリモートコード実行を実行できます。アプライアンスモードのBIG-IPシステムも脆弱です。これはデータプレーンの問題です。制御プレーンには露出がありません」とF5は述べています。
CVE-2025-53521はBIG-IP APMバージョン17.5.0~17.5.1、17.1.0~17.1.2、16.1.0~16.1.6、および15.1.0~15.1.10に影響を与え、バージョン17.5.1.3、17.1.3、16.1.6.1、および15.1.10.8で対処されました。
「この脆弱性が脆弱なBIG-IPバージョンで悪用されたことを学びました。元のCVE修復は修正されたバージョンのRCEに対処するために検証されています」とF5はアドバイザリで述べています。
金曜日、CISAはCVEを既知の悪用脆弱性(KEV)カタログに追加し、連邦機関に3日以内にパッチを適用するよう促しました。
同時に、F5が公開した脆弱なBIG-IPシステムを対象とした悪意のある活動に関連する侵害の兆候(IOC)。
これには、不正なファイルの存在、ファイルハッシュの不一致、ファイルサイズまたはタイムスタンプの不一致、およびリリースとエンジニアリングホットフィックス(EHF)リリース全体でのファイルサイズとタイムスタンプの違いが含まれます。
脆弱なシステム上の特定のログエントリとコマンド出力の存在、およびCSSコンテンツタイプとHTTP 201レスポンスコードを含むアウトバウンドHTTP/Sトラフィックも、侵害の成功を示しています。
あらゆるタイプの組織は、CVE-2025-53521の修正を適用し、CISAのKEVリスト内のすべての脆弱性の緩和に優先順位を付けることをお勧めします。
翻訳元: https://www.securityweek.com/f5-big-ip-dos-flaw-upgraded-to-critical-rce-now-exploited-in-the-wild/
