TokyoBlackHatNews

csoonline.com 4分で読了

5ヶ月前のF5 BIG-IP DoS脆弱性が致命的なRCEに、野生環境で悪用されている

リモートコード実行脆弱性として再分類されたF5 BIG-IP APM脆弱性はCVSS 9.8にアップグレードされ、即座のパッチ適用と侵害評価が必要です。

5ヶ月前にF5 BIG-IP Access Policy Manager (APM)のサービス拒否問題として誤って分類された脆弱性が、実は認証前のリモートコード実行フローであることが判明し、現在活発に悪用されています。ハッカーはこれを使用して、ルート権限で実行される永続的なマルウェアプログラムを配備しています。

CVE-2025-53521脆弱性は2025年10月にCVSSスコア7.5のDoS問題として最初に開示されました。F5は金曜日に勧告を更新し、リモートコード実行として再分類し、受け取った「新しい情報」に基づいてスコアをCVSS 9.8に引き上げました。同じ日に、CISAはこの脆弱性を既知の悪用脆弱性(KEV)カタログに追加し、オランダサイバーセキュリティセンターは活発な悪用が見られたと報告しました

BIG-IP APMはF5のセキュアアクセスソリューションで、企業、サービスプロバイダー、政府機関がリモート、モバイル、クラウド環境全体で認証、認可、およびVPNアクセスを制御できるようにします。Shadowserver Foundationは現在インターネット上で240,000以上のF5 BIG-IPインスタンスを追跡していますが、脆弱なバージョンがいくつあるかは明確ではありません。

「F5 CVE-2025-53521が昨年サービス拒否問題として最初に現れたとき、すぐには緊急性を示さず、多くのシステム管理者はそれに応じて優先順位を付けたと思われます」と、オフェンシブセキュリティ企業watchTowrのCEOであるベンジャミン・ハリスはCSOに語りました。「今日の大きな’あちゃ’という瞬間まで早送りしてください。状況は大きく変わりました。私たちが今観察しているのは認証前のリモートコード実行と野生環境での悪用の証拠であり、CISA KEVリスティングがそれを裏付けています。それは最初に伝えられたものとは非常に異なるリスク プロファイルです。」

パッチ適用は対策の一部に過ぎず、セキュリティチームの即座の焦点は、この脆弱性が彼らの環境で既に悪用されたかどうかを判断することであるとハリスは指摘しました。

この脆弱性はBIG-IP APMバージョン17.1.0~17.1.2、17.5.0~17.5.1、16.1.0~16.1.6、および15.1.0~15.1.10に影響します。F5はバージョン17.1.3、17.5.1.3、16.1.6.1、および15.1.10.8でパッチをリリースしました。同社はまた、侵害指標、攻撃者TTP、および観察されたマルウェアに対する強化ガイダンスを含むナレッジベース記事を公開しました。

攻撃の仕組み

BIG-IP APMは仮想サーバーで構成されている場合にのみ影響を受けます。これは攻撃の制限要因ですが、通常のデプロイメントではありません。悪用に成功するとアクターはルートレベルのアクセスと基盤となるオペレーティングシステムの完全なコントロールを獲得します。

同社は展開されたマルウェアプログラムを「c05d5254」として追跡し、/run/bigtlog.pipeおよび/run/bigstart.ltmにファイルを作成し、/usr/bin/umountおよび/usr/sbin/httpdを含むシステムバイナリに変更を加えることに注意しています。攻撃者はまた、ディスク上の実行可能ファイルを検証するためにRPM整合性チェックに依存するsys-eicheckユーティリティを変更する様子も観察されています。

ログ分析は攻撃に関連するパターンを明らかにします。ユーザー「f5hubblelcdadmin」がlocalhostからiControl REST APIにアクセスし、auditdログのSELinuxdisableコマンド、ファイルに書き込まれたBase64エンコードされたデータの後に`/run/bigstart.ltm`を実行することはすべて侵害に成功したことを示しています。F5はまた、脅威アクターがHTTP 201レスポンスコードとCSSコンテンツタイプヘッダーを使用して悪意のあるトラフィックを偽装する様子を観察しました。

対策

2025年10月の更新を適用した組織は既に保護されています。元のパッチはRCEベクトルにも対応しているためですが、脆弱なバージョンを実行しているシステムは即座のパッチ適用と侵害評価が必要です。

組織はパッチ適用のみに基づいてシステムがクリーンであると仮定してはいけません。なぜなら、侵害されたシステムのUCSバックアップファイルにはマルウェアのコピーが含まれる可能性があるためです。侵害のタイムフレームが不確実な場合、F5はバックアップから復元するのではなく、構成をゼロから再構築することを推奨しています。

sys-eicheckユーティリティは/usr/bin/umountおよび/usr/sbin/httpdの整合性の失敗を識別できますが、攻撃者はこのツールが依存するコンポーネントをターゲットにしています。

翻訳元: https://www.csoonline.com/article/4152658/5-month-old-f5-big-ip-dos-bug-becomes-critical-rce-exploited-in-the-wild.html

ソース: csoonline.com
#CVE-2025-53521 #F5 BIG-IP #VPN #アクセス制御 #セキュリティ侵害 #マルウェア #リモートコード実行 #緊急パッチ #脆弱性 #認証回避

関連記事

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く

トランプ大統領、撤回したAI大統領令の一部をサイバーセキュリティ重視の指令として復活