インターネット脅威監視を行う非営利団体Shadowserverは、14,000以上のF5 BIG-IP Access Policy Manager(APM)インスタンスが現在もオンラインで晒されており、重大度の重いリモートコード実行(RCE)脆弱性を悪用した継続中の攻撃に対して脆弱であることを確認しました。これは米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が連邦機関の修復を義務付けた後でも続いています。
CVE-2025-53521として追跡されるこの脆弱性は2025年10月15日に最初に公開され、当初はCVSSスコア7.5の比較的低リスクのサービス妨害(DoS)欠陥として分類されました。
この誤分類は現実世界に悪影響をもたらしました。多くのシステム管理者がパッチ適用の優先度を下げ、その脅威レベルを過小評価してしまいました。
しかし2026年3月、F5は顧問を劇的に改訂し、同じ欠陥が完全な認証なしのリモートコード実行を可能にすることを確認しました。
「2026年3月に得られた新しい情報により、元の脆弱性はCVSSスコア9.8(CVSS v3.1)および9.3(CVSS v4.0)のRCEとして再分類されています」とF5は更新されたセキュリティアドバイザリ(K000156741)で述べています。
この脆弱性は、ライブトラフィックを処理するapmdプロセス内に存在し、BIG-IP APMバージョン15.1.0から17.5.1に影響を及ぼします。アプライアンスモードで実行されているシステムも含まれます。
このうち、14,000以上のインスタンスがCVE-2025-53521の悪用に対して脆弱であると特に評価されています。
この驚異的な数字は、エンタープライズセキュリティコミュニティの大部分が、脆弱性の重大度が引き上げられる前に2025年10月のパッチを適用しなかったことを確認しています。
攻撃者は認証情報やユーザー操作を必要とせずに欠陥を悪用しています。システム内に侵入すると、脅威アクターはWebシェルのデプロイ、永続性の確立、F5のシステム整合性チェッカー(sys-eicheck)の改ざん、検出を回避するためのファイルレス技術の使用が確認されています。
F5はまた、脆弱なバージョンから修正されたバージョンにアップグレードされたシステムでも、マルウェアがアップグレード後に永続化する可能性があるため、依然として危険にさらされている可能性があると警告しています。
さらに緊急度を高める要因として、この重新分類は、攻撃者がF5の内部環境への国家レベルの侵入を行い、BIG-IPソースコードへのアクセスを獲得した以前に報告された事件と一致しています。これは脅威アクターが公開アドバイザリが更新される前から欠陥のRCE可能性について高度な知識を持っていた可能性を高めています。
CISAは2026年3月27日にCVE-2025-53521を既知の悪用脆弱性(KEV)カタログに追加し、すべての米国連邦民間機関に2026年3月30日までに修復することを命じました。
英国のNational Cyber Security Centre(NCSC)もまた、システムが最後に更新された時期に関係なく、直ちに対応するよう組織に促すアラートを発行しています。
セキュリティチームはこれを重大インシデントとして扱い、遅延なく対応すべきです。
F5 BIG-IP APMはエンタープライズネットワークのエッジに位置し、VPN接続、セキュアウェブゲートウェイ、ゼロトラストアクセス制御を管理しています。
これらのアプライアンスの侵害は単なるデバイスの乗っ取りではなく、内部企業インフラストラクチャへの直接的な高い権限を持つゲートウェイです。
翻訳元: https://cyberpress.org/14000-f5-big-ip-apm-instances-exposed-as-rce-exploits-surge/