サイバーセキュリティ研究者は、F5 BIG-IP Access Policy Manager(APM)デバイスを含む膨大な攻撃対象領域を特定しました。
最近開示された欠陥の重大度の高いアップグレードに続いて、17,100以上のインスタンスが現在インターネットに公開されており、エンタープライズネットワークが完全なシステム乗っ取りに対して脆弱な状態にあります。
CVE-2025-53521の深刻化
CVE-2025-53521として追跡されているこの脆弱性は、最初は研究者によってサービス拒否(DoS)の欠陥として分類されていました。
DoS悪用は通常、攻撃者がシステムをクラッシュさせるか、正当なユーザーが利用できない状態にすることを可能にします。
しかし、F5は最近、セキュリティアドバイザリを更新して、脅威アクターがこの同じ欠陥を悪用してリモートコード実行(RCE)を実現できることを確認しました。
RCEは最も重大なタイプのセキュリティ脆弱性です。これにより、認証されていないリモート攻撃者が、影響を受けるデバイス上で直接悪意のあるコマンドを実行できます。
F5 BIG-IP APMは、大規模なエンタープライズがVPN接続を管理し、セキュアなウェブゲートウェイを確保し、ゼロトラストネットワークアクセスポリシーを実装するために広く使用されています。
これらのアプライアンスはネットワークのエッジに位置しているため、1つを侵害すると、攻撃者は内部の企業環境への直接的で高度な特権を持つゲートウェイを獲得します。
現在の悪用の具体的な証拠により、米国サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は正式にCVE-2025-53521を既知の悪用脆弱性(KEV)カタログに追加しました。
この指定は連邦機関に対する緊急パッチの必須化と、世界中のプライベート組織に対する高度な警告として機能します。
脅威インテリジェンス組織のShadowserverは最近、グローバルリスクを測定するための人口評価を実施しました。
インターネットフィンガープリンティングを通じて、彼らのスキャナーは2026年3月31日時点で、グローバルに17,100以上の公開されたF5 BIG-IP APM IPアドレスを検出しました。
この膨大な数は、脆弱性がRCE脅威に昇格してから、かなりの数の組織が必要なセキュリティアップデートを適用していないことを示しています。
必要なセキュリティ対策
F5 BIG-IP APMを使用する組織は、これを重大なインシデントとして扱う必要があります。セキュリティチームは、インフラストラクチャを保護するために直ちに以下のアクションを実行する必要があります。
- F5の公式アドバイザリ(K000156741)で提供されている最新のセキュリティパッチを適用します。
- 不正アクセス、疑わしいファイル作成、または異常な管理コマンドの兆候についてシステムログを確認します。
- 厳格なファイアウォールルールを使用して、管理インターフェイスのアクセスをパブリックインターネットから制限します。
- F5アプライアンスから発信される異常なアウトバウンド接続をネットワークトラフィックで監視します。
- 認証情報盗聴に対する追加の防御層を追加するために、すべての管理アカウント全体で多要素認証(MFA)を実装します。
翻訳元: https://gbhackers.com/14000-f5-big-ip-apm-instances-exposed-online/
