Критична уразливість CVE-2025-53521 у модулі F5 BIG-IP Access Policy Manager (APM) офіційно підтверджена як така, що вже використовується в реальних атаках. Агентство з кібербезпеки та безпеки інфраструктури США (CISA) додало її до каталогу Known Exploited Vulnerabilities (KEV), що перетворює проблему з «чергового патча» на пріоритетний інцидент для будь-якої організації, яка використовує F5 BIG-IP для віддаленого доступу чи балансування навантаження.
Критична уразливість CVE-2025-53521 у F5 BIG-IP APM: суть проблеми
Уразливість CVE-2025-53521 отримала оцінку 9,3 за шкалою CVSS v4, що відносить її до рівня critical. Помилка проявляється, коли на віртуальному сервері BIG-IP налаштовано політику доступу APM: спеціально сформований шкідливий трафік може призвести до віддаленого виконання коду (Remote Code Execution, RCE).
Віддалене виконання коду означає, що зловмисник здатен запускати на пристрої довільні команди або програми без автентифікації. У контексті BIG-IP APM це створює можливість повного контролю над пристроєм: перехоплення та модифікації трафіку, розгортання прихованих точок доступу, створення бекдорів і подальший рух усередині корпоративної мережі.
Від уразливості типу DoS до повноцінного RCE: як змінився рівень ризику
Початково виробник F5 класифікував цю проблему як уразливість відмови в обслуговуванні (Denial of Service, DoS) з оцінкою CVSS v4 8,7. У таких сценаріях основний ризик зазвичай зводиться до порушення доступності сервісу, а не до захоплення керування системою.
Однак у березні 2026 року, на підставі оновлених технічних даних та аналізу реальних атак, F5 переглянула свій висновок і перекласифікувала CVE-2025-53521 як уразливість з віддаленим виконанням коду. Це суттєво підвищило пріоритет її усунення: мова йде не лише про можливі збої, а про повну компрометацію пристрою BIG-IP і, потенційно, критичних сегментів мережі.
Додавання до CISA KEV: підтверджена експлуатація та регуляторні вимоги
Оновлений бюлетень F5 прямо вказує, що уразливість вже використовувалась у атаках на вразливі версії BIG-IP. Хоча інформація про конкретні кіберзлочинні групи чи кампанії не розкривається, включення CVE-2025-53521 до CISA Known Exploited Vulnerabilities означає наявність перевірених даних про практичну експлуатацію, а не лише теоретичну можливість атаки.
CISA зобов’язала цивільні федеральні відомства США (Federal Civilian Executive Branch, FCEB) усунути цю уразливість до 30 березня 2026 року. Для комерційних та міжнародних організацій це не є формально обов’язковою нормою, проте служить чітким орієнтиром: уразливості з KEV зазвичай розглядаються як must-patch у найкоротші строки.
Ознаки зламу F5 BIG-IP: webshell на диску та в оперативній пам’яті
F5 оприлюднила перелік індикаторів компрометації (Indicators of Compromise, IoC), які допомагають визначити, чи могла інфраструктура стати жертвою експлуатації CVE-2025-53521. Особливу увагу в цих матеріалах приділено використанню зловмисниками webshell – шкідливих веб-скриптів, що надають атакуючому віддалену консоль для виконання команд.
За даними F5, зафіксовано сценарії, коли webshell записувався на диск пристрою, а також випадки, у яких він працював виключно в оперативній пам’яті. Останній варіант суттєво ускладнює виявлення: файловий слід відсутній або мінімальний, а шкідлива логіка існує лише доти, доки пристрій не буде перезавантажено. У таких умовах класичні перевірки файлової системи є недостатніми, а ключову роль відіграють розширений збір логів, поведінковий аналіз та моніторинг мережевих аномалій.
Чому ризик CVE-2025-53521 могли недооцінити
Поки уразливість сприймалася як лише DoS-проблема, багато адміністраторів планували оновлення BIG-IP в межах стандартних вікон обслуговування. Як зазначають в індустрії, уразливості відмови в обслуговуванні часто програють у пріоритеті RCE- та privilege escalation-інцидентам, особливо в перевантажених командах експлуатації.
Перекласифікація CVE-2025-53521 у передавтентифікаційний RCE разом з офіційним включенням до CISA KEV докорінно змінює картину загроз. Йдеться вже не про погіршення якості сервісу, а про сценарій, у якому атакувальник отримує віддалений доступ до вузла, що знаходиться на перетині критичних комунікацій – точок VPN-доступу, балансувальників трафіку, шлюзів до внутрішніх застосунків.
Практичні рекомендації для власників F5 BIG-IP APM
Оперативне оновлення, сегментація та захист адміністративних інтерфейсів
Насамперед варто перевірити свою версію F5 BIG-IP APM згідно з офіційним бюлетенем виробника і якнайшвидше встановити патчі, що усувають CVE-2025-53521. Якщо оперативне оновлення неможливе, слід застосувати рекомендовані F5 тимчасові компенсуючі заходи: жорстко обмежити доступ до адміністративних інтерфейсів, посилити аутентифікацію, впровадити сегментацію мережі та мінімізувати доступ з недовірених сегментів.
Окрему увагу варто приділити конфігурації віртуальних серверів із активними політиками APM. Важливо переконатися, що до них немає прямого доступу з Інтернету без проміжних засобів захисту, а керування пристроями здійснюється лише з обмежених адміністративних сегментів.
Поглиблений моніторинг, ретроспективний аналіз та інцидент-респонс
Рекомендовано виконати ретроспективний аналіз логів BIG-IP і систем моніторингу за останні місяці: шукати аномальний трафік до APM, нетипові HTTP-запити, підозрілі команди чи ознаки спроб завантаження файлів. Особливу увагу слід звернути на можливі сліди webshell – як у вигляді незвичних файлів, так і у вигляді нетипової активності процесів і мережевих з’єднань.
За наявності будь-яких сумнівів доцільно залучити спеціалізовану команду інцидент-респонсу для аналізу пам’яті, мережевих дампів та системних журналів. Це особливо важливо, враховуючи можливість існування in-memory webshell, яку складно виявити без глибокої технічної експертизи та відповідних інструментів.
Організаціям, для яких F5 BIG-IP APM є критичною ланкою віддаленого доступу та балансування навантаження, варто розглядати CVE-2025-53521 як сигнал до перегляду підходів до управління вразливостями – від швидкості розгортання патчів до глибини моніторингу та регулярного тестування безпеки. Чим раніше буде усунено цю уразливість, проведено перевірку на можливу компрометацію та налагоджено процеси реагування, тим менша ймовірність, що одиничний технічний збій переросте у масштабний інцидент кібербезпеки з довгостроковими наслідками для бізнесу.
