米国サイバーセキュリティ・基盤セキュリティ庁(CISA)は、F5 BIG-IPアクセスポリシーマネージャー(APM)の新たに特定された脆弱性を既知の悪用脆弱性(KEV)カタログに追加した後、重大警告を発表しました。
CVE-2025-53521として追跡されているこの脆弱性は、実際の攻撃で脅威アクターによって積極的に悪用されていることが確認されており、エンタープライズネットワークと政府ネットワークに重大なリスクをもたらしています。
CVE-2025-53521は F5 BIG-IP APMモジュール を対象とし、仮想サーバーにアクセスポリシーが構成されている場合、リモートコード実行を可能にします。
F5の更新されたアドバイザリによると、「特定の悪意のあるトラフィックがこれらの条件下でリモートコード実行(RCE)につながる可能性があります」。
重要なことに、この脆弱性は事前の認証を必要としないため、認証されていないリモート攻撃者がインターネットから直接それを悪用できます。
この脆弱性が特に懸念される理由は、深刻度が劇的にアップグレードされたことです。CVE-2025-53521が2025年10月に最初にパッチされたとき、それはわずかCVSSスコア7.5の比較的低リスクのサービス拒否(DoS)欠陥として分類されていました。
多くのシステム管理者は、標準的なトリアージを適用して、対応を低い優先度として扱っていたでしょう。この判断は重大な結果をもたらしました。
2026年3月に明らかになった新しい情報により、F5は脆弱性を完全なリモートコード実行欠陥として再分類し、CVSS v3.1スコアを9.8に上げ、野生での積極的な悪用を確認しました。
F5 BIG-IPアプライアンスはエンタープライズネットワーク内で戦略的に重要な位置を占め、ロードバランサー、アプリケーション配信コントローラー、SSLオフローダー、およびアクセスポリシーゲートウェイとして機能します。
これらのデバイスがネットワーク周辺に位置し、すべてのインバウンドアプリケーショントラフィックを処理するため、侵害に成功すると、攻撃者は比類のない可視性と制御を得られます。
CVE-2025-53521を成功裏に悪用する攻撃者は、機密のウェブトラフィックをインターセプトし、アプリケーション要求を操作し、デバイスを通過する認証情報を収集し、侵害されたアプライアンスを足がかりとして内部企業ネットワークへの横展開ができます。
標準的なエンドポイント検出・対応(EDR)ツールはネットワークエッジアプライアンスへの可視性が限定されており、これらのデバイスでの悪用後のアクティビティを検出することは悪名高く困難です。
Defused Cyberのセキュリティ研究者は、KEV追加後の脆弱性があるF5 BIG-IPデバイスに対する「急性スキャン活動」を既に確認しており、攻撃者は /mgmt/shared/identified-devices/config/device-info REST APIエンドポイントを調査して脆弱なシステムをフィンガープリントしています。
F5はBIG-IP環境内で組織が積極的に監視すべき指標のセットを公開しました:
F5は脆弱なBIG-IPバージョンでの悪用を確認し、パッチが適用されたビルドをリリースしました。次のバージョンが修正されることが確認されています:
以前のバージョンブランチを実行している組織は、その特定のブランチパッチステータスについて公式のF5セキュリティアドバイザリを参照する必要があります。
技術サポート終了(EoTS)に達したソフトウェアバージョンはF5によって評価されないことに注意してください。
CISAのKEVカタログへのCVE-2025-53521の含有は、拘束力のある作業指令(BOD)22-01に基づく強制的な措置を引き起こします。
この指令の下で、すべての連邦民間行政府(FCEB)機関は2026年3月30日までにパッチまたは承認された軽減策を適用することが法的に要求されています。
BOD 22-01は法的には連邦機関のみを拘束しますが、 CISAはすべての民間部門の 組織、重要インフラオペレーター、ネットワーク防御者に、この脆弱性を同等の緊急性で扱うよう強く促しています。
確認された野生でのアクティビティとKEV掲載後に観察された積極的な偵察を考えると、組織はスキャンと悪用の試みが既に進行中であると想定する必要があります。
翻訳元: https://cyberpress.org/cisa-alerts-on-actively-exploited-f5-big-ip-flaw-targeting-organizations/