インターネット脅威監視非営利団体のShadowserverは、重大度の高いリモートコード実行(RCE)脆弱性を悪用した継続中の攻撃の中で、14,000以上のBIG-IP APMインスタンスがオンラインで公開されていることを発見しました。
BIG-IP APM(アクセスポリシーマネージャーの略)は、管理者が組織のネットワーク、クラウド、アプリケーション、およびアプリケーションプログラミングインターフェース(API)へのアクセスを保護するのを支援するために設計されたF5の集中管理アクセス管理プロキシソリューションです。
この5ヶ月前の脆弱性(CVE-2025-53521として追跡)は10月にサービス拒否(DoS)脆弱性として開示され、週末にRCEバグとして再分類されました。
「2026年3月に得られた新しい情報により、元の脆弱性はRCEに再分類されています。元のCVE改善は固定版のRCEに対処することが検証されています。この脆弱性は脆弱なBIG-IPバージョンで悪用されていることが分かりました」とF5は日曜日の勧告更新で警告しています。
特権のない攻撃者は、このセキュリティ問題を悪用して、仮想サーバーに設定されたアクセスポリシーを持つパッチされていないBIG-IP APMシステムでリモートコード実行を获得しています。
インターネットに公開されているBIG-IP APMインスタンスのうち、脆弱な構成のものが何個あるかについては情報がありませんが、インターネット脅威監視非営利団体のShadowserverは、水曜日に17,100以上のBIG-IP APMフィンガープリントを持つIPを追跡していると発表しました。
Shadowserverのデータによると、14,000以上のBIG-IP APMシステムは、米国サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が連邦機関に月曜日の午前0時までにBIG-IP APMシステムを保護するよう命じたにもかかわらず、CVE-2025-53521攻撃にさらされたままです(金曜日にその脆弱性をその積極的に悪用されている脆弱性のリストに追加した後)。
F5はまた公開されている侵害の指標(IOC)を共有し、ディフェンダーにBIG-IPデバイスのディスク、ログ、ターミナル履歴で悪意のある活動の兆候をチェックするよう勧めています。また、侵害の証拠を検出した後に取るべき措置に関するガイダンスも提供しており、影響を受けたシステムをゼロから再構築することが含まれます。
「顧客がシステムがいつ侵害されたかを正確に知らない場合、ユーザー構成セット(UCS)バックアップが侵害後に作成された可能性があります」と同社は述べています。
「F5は、侵害されたシステムのUCSファイルが永続的なマルウェアを含む可能性があるため、既知の良好なソースから構成を再構築することを強く推奨しています。」
フォーチュン500テクノロジー大手のF5は、フォーチュン50企業を含む23,000以上の顧客にサイバーセキュリティ、アプリケーション配信ネットワーク(ADN)、およびその他のサービスを提供しています。
近年、BIG-IP脆弱性は、企業ネットワークを侵害し、デバイスをハイジャックし、データ削除マルウェアをデプロイし、内部サーバーをマップし、機密データを盗むために、国家レベルの脅威グループとサイバー犯罪脅威グループの両方によって標的にされてきました。
