3分間の読み物
出典:Alamy stock photoを通じたSOPA Images Limited
F5のBIG-IPアプリケーションセキュリティ製品ラインの重大なセキュリティ脆弱性が、10月に高重度サービス拒否(DoS)欠陥として初めて公開されて以来、野生の中で積極的に悪用されています。
F5は土曜日、CVE-2025-53521をリモートコード実行(RCE)欠陥として再分類し、9.8のCVSSスコアを割り当てました。この脆弱性は当初10月15日に公開・パッチされた際、BIG-IP Access Policy Managerに対するDoSバグとして説明され、CVSSスコアは7.5でした。
「2026年3月に得られた新しい情報」により、CVEはF5の更新されたアドバイザリーによるとRCE欠陥として大幅に高い重大度レーティングで改定されました。新しい情報が何を含んでいるかは不明です。Dark ReadingはF5にコメントを求めましたが、公開時点では会社からの回答がありませんでした。
CVE-2025-53521 Under Attack">CVE-2025-53521が攻撃下にある
F5は更新されたアドバイザリーでCVE-2025-53521が野生で悪用されていることを警告しました。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は金曜日にこの欠陥を既知の悪用された脆弱性(KEV)カタログに追加しました。
F5によると、脅威行為者はBIG-IP AMPで構成された仮想サーバーに「特定の悪意のあるトラフィック」を送信することで重大なバグを悪用でき、RCE機能を獲得できます。
BIG-IP AMPバージョン17.5.0~17.5.1、17.1.0~17.1.2、16.1.0~16.1.6、および15.1.0~15.1.10が脆弱です。F5は顧客に修正バージョンへのアップグレードを促しました。ネットワークセキュリティベンダーはまた、アプライアンスモードで実行されているBIG-IPシステムは、管理アクセスをシステムに制限していますが、この欠陥に対して依然として脆弱であると述べました。
F5は別途、CVE-2025-53521の悪用活動に関する侵害の兆候(IoC)を公開しました。同社は、c05d5254として追跡される悪意のあるソフトウェアの正常な展開の場合、組織は/run/bigtlog.pipeおよび/run/bigstart.ltmなどのディスク上のファイル、および/usr/bin/umountおよび/usr/sbin/httpdの既知の良好なバージョンのファイルサイズ、ハッシュ、およびタイムスタンプの不一致を検出する可能性があることに注意しました。
IoCSには、攻撃者が使用したログエントリ、コマンド、およびその他の戦術、技術、および手順も含まれていました。
一方、サイバーセキュリティベンダーDefusedは、欠陥がCISAのKEVカタログに追加された後、CVE-2025-53521のスキャン活動を観察したと述べました。
「このアクターは/mgmt/shared/identified-devices/config/device-infoにアクセスしており、これはホスト名、マシンID、ベースMACアドレスなどのシステムレベル情報を取得するために使用されるF5 BIG-IP REST APIエンドポイントです」とDefusedは金曜日、ソーシャルメディアプラットフォームX上の投稿で述べました。
悪用活動が最初に開始された時期は不明です。Defusedの創業者兼CEOのSimo Kohonenは、同社のBIG-IPハニーポットが「ほぼ一貫して攻撃下にある」とDark Readingに語っています。ただし、金曜日以降の脅威活動に顕著な変化が観察されており、F5インスタンスの新しいフィンガープリント方法を含むと述べています。
「汎用の大量エクスプロイターは一貫して同じタイプのペイロードを使用していますが、過去1週間でペイロードへのマイナーな偏差が観察されています。これはより多くのアクターがF5インフラストラクチャのマッピングを検討していることを示唆しています」とKohonenは述べています。
F5製品は、幅広い脅威行為者によって頻繁に標的にされてきました。昨年、国家支援の攻撃者がF5を侵害し、BIG-IPプラットフォームのソースコードを含む機密データを盗みました。
CVE-2025-53521がもたらす増加したリスクを考えると、F5顧客はソフトウェアを更新し、侵害の兆候がないかシステムを確認する必要があります。
