Wprowadzenie do problemu / definicja
CVE-2025-53521 to krytyczna podatność dotycząca F5 BIG-IP Access Policy Manager, czyli komponentu odpowiedzialnego za kontrolę dostępu i egzekwowanie polityk bezpieczeństwa w infrastrukturze aplikacyjnej. Problem nabrał wysokiego priorytetu po tym, jak amerykańska agencja CISA dopisała go do katalogu Known Exploited Vulnerabilities, wskazując na potwierdzoną aktywną eksploatację w środowiskach produkcyjnych.
W skrócie
Luka CVE-2025-53521 dotyczy F5 BIG-IP APM i może prowadzić do zdalnego wykonania kodu. Wcześniej była traktowana jako podatność typu denial-of-service, jednak po uzyskaniu nowych informacji została przeklasyfikowana do znacznie groźniejszej kategorii RCE. F5 potwierdziło, iż podatność była wykorzystywana przeciwko podatnym wersjom oprogramowania, a CISA objęła ją katalogiem KEV. Oznacza to wzrost ryzyka dla organizacji korzystających z BIG-IP jako punktu dostępowego do aplikacji, usług VPN i zasobów krytycznych.
Kontekst / historia
Początkowo problem był postrzegany jako błąd wpływający głównie na dostępność usług. Taka klasyfikacja zwykle skutkuje niższym priorytetem po stronie administratorów, szczególnie gdy organizacje koncentrują się na podatnościach prowadzących do przejęcia systemu lub eskalacji uprawnień. Sytuacja zmieniła się w marcu 2026 roku, gdy F5 zaktualizowało komunikat bezpieczeństwa i wskazało, iż nowe ustalenia pokazują możliwość zdalnego wykonania kodu oraz rzeczywiste wykorzystanie luki w atakach.
Dodatkowo wpisanie CVE-2025-53521 do katalogu KEV ma znaczenie operacyjne. Dla wielu zespołów bezpieczeństwa katalog ten jest sygnałem, iż podatność nie jest już wyłącznie teoretyczna, ale stanowi aktywne zagrożenie w środowisku zagrożeń. W praktyce oznacza to konieczność przyspieszonego wdrożenia poprawek, oceny kompromitacji i przeglądu ekspozycji systemów dostępnych z sieci.
Analiza techniczna
Z dostępnych informacji wynika, iż podatność występuje, gdy na serwerze wirtualnym BIG-IP skonfigurowano politykę dostępu APM. W takich warunkach spreparowany ruch sieciowy może doprowadzić do zdalnego wykonania kodu. To szczególnie niebezpieczny scenariusz, ponieważ APM często stoi na styku sieci zewnętrznej i wewnętrznych aplikacji biznesowych, pełniąc rolę bramy dostępowej dla użytkowników i administratorów.
Według ujawnionych wskaźników naruszenia kompromitacja może objawiać się między innymi obecnością nietypowych plików tymczasowych, zmianami w plikach systemowych, rozbieżnościami w hashach krytycznych binariów oraz wpisami logów wskazującymi na lokalny dostęp do interfejsu iControl REST API z localhost. Zaobserwowano również działania sugerujące obchodzenie mechanizmów ochronnych, w tym modyfikacje elementów zależnych od kontroli integralności systemu oraz próby maskowania aktywności przy użyciu odpowiedzi HTTP 201 i treści wyglądających jak zasoby CSS.
Istotnym elementem technicznym jest także charakter wykrytych webshelli. F5 wskazało, iż część z nich może działać wyłącznie w pamięci, bez trwałego zapisu na dysku. Taki model utrudnia analizę powłamaniową, ponieważ klasyczne skanowanie systemu plików może nie ujawnić pełnego zakresu kompromitacji. W praktyce wymaga to szerszej analizy procesów, artefaktów pamięci oraz logów audytowych.
Podatne wersje obejmują gałęzie 17.5.0–17.5.1, 17.1.0–17.1.2, 16.1.0–16.1.6 oraz 15.1.0–15.1.10. Producent opublikował poprawione wersje odpowiednio 17.5.1.3, 17.1.3, 16.1.6.1 oraz 15.1.10.8.
Konsekwencje / ryzyko
Ryzyko związane z CVE-2025-53521 należy ocenić jako bardzo wysokie. Zdalne wykonanie kodu w urządzeniu brzegowym odpowiedzialnym za uwierzytelnianie i kontrolę dostępu może otworzyć atakującemu drogę do trwałej obecności w środowisku, przejęcia sesji administracyjnych, manipulacji ruchem, kradzieży danych uwierzytelniających oraz dalszego ruchu bocznego do systemów wewnętrznych.
Szczególnie narażone są organizacje, które wystawiają interfejsy BIG-IP do internetu i używają APM do zdalnego dostępu pracowników, partnerów lub usług krytycznych. o ile exploity są już wykorzystywane aktywnie, czas reakcji staje się kluczowy. Dodatkowym problemem jest możliwość błędnej oceny ryzyka przez zespoły, które wcześniej potraktowały tę podatność jako problem dostępności, a nie przejęcia systemu.
Z perspektywy operacyjnej istnieje również ryzyko wtórne: choćby po wdrożeniu poprawki organizacja może pozostawać skompromitowana, jeżeli atak nastąpił przed patchowaniem. Dlatego samo aktualizowanie nie powinno być traktowane jako wystarczający środek zaradczy bez równoległego przeglądu artefaktów kompromitacji.
Rekomendacje
Priorytetem powinno być natychmiastowe ustalenie, czy organizacja korzysta z podatnych wersji F5 BIG-IP APM. jeżeli tak, należy niezwłocznie wdrożyć poprawki producenta lub zastosować zalecane obejścia, jeżeli aktualizacja nie może zostać wykonana od razu.
- weryfikacja hashy i integralności kluczowych plików systemowych,
- przegląd logów związanych z iControl REST API, auditd oraz restjavad,
- analiza nietypowego ruchu wychodzącego HTTP/S z urządzenia,
- kontrola zmian w plikach rendererów webtop,
- ocena możliwości użycia webshelli działających wyłącznie w pamięci.
Zespoły SOC i IR powinny tymczasowo podnieść poziom monitorowania urządzeń F5, zwłaszcza tych wystawionych publicznie. Zalecane jest także ograniczenie ekspozycji interfejsów administracyjnych, segmentacja dostępu do urządzeń zarządzających oraz wymuszenie przeglądu poświadczeń używanych przez administratorów i integracje automatyczne.
W środowiskach o podwyższonym profilu ryzyka warto rozważyć dodatkowe działania obronne, takie jak zbieranie pełniejszych logów z urządzeń sieciowych, integrację telemetrii z systemem SIEM, krótkoterminowe reguły wykrywania IOC i TTP oraz walidację, czy urządzenie nie było użyte jako punkt pośredni do dalszych działań przeciwko infrastrukturze wewnętrznej.
Podsumowanie
CVE-2025-53521 to przykład podatności, której profil ryzyka może ulec gwałtownej zmianie po pojawieniu się nowych danych o eksploatacji. Przeklasyfikowanie błędu z DoS do RCE, potwierdzenie aktywnego wykorzystania oraz wpis do katalogu KEV powodują, iż luka w F5 BIG-IP APM powinna być traktowana jako incydent wysokiego priorytetu. Organizacje korzystające z tych rozwiązań muszą nie tylko wdrożyć poprawki, ale również sprawdzić, czy kompromitacja nie nastąpiła wcześniej i czy urządzenia nie zostały wykorzystane jako punkt wejścia do dalszych ataków.
Źródła
- The Hacker News — https://thehackernews.com/2026/03/cisa-adds-cve-2025-53521-to-kev-after.html
- CVE Record: CVE-2025-53521 — https://www.cve.org/CVERecord?id=CVE-2025-53521
- F5 Security Advisory K000153176 — https://my.f5.com/manage/s/article/K000153176
- CISA Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog
