Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) добавило критическую уязвимость в F5 BIG-IP Access Policy Manager (APM) под идентификатором CVE-2025-53521 в свой каталог Known Exploited Vulnerabilities (KEV), подтвердив наличие реальной эксплуатации в дикой природе. Это серьёзный сигнал для всех организаций, использующих решения F5 для удалённого доступа и балансировки нагрузки.
Что представляет собой уязвимость CVE-2025-53521 в F5 BIG-IP APM
Уязвимость CVE-2025-53521 получила оценку по шкале CVSS v4 9,3, что относит её к критическим. Ошибка проявляется, когда на виртуальном сервере настроена политика доступа BIG-IP APM: специально сформированный вредоносный трафик может привести к удалённому выполнению кода (Remote Code Execution, RCE).
Удалённое выполнение кода означает, что атакующий способен запускать произвольные команды или программы на целевом устройстве без легитимной аутентификации. В контексте BIG-IP APM это может дать злоумышленнику контроль над устройством, перехват трафика, создание скрытых точек входа и дальнейшее продвижение по сети.
Переклассификация из DoS в RCE: как изменился уровень риска
Изначально производитель F5 оценивал проблему как уязвимость типа отказ в обслуживании (Denial of Service, DoS) с оценкой CVSS v4 8,7. Такой класс уязвимостей обычно ассоциируется с нарушением доступности сервиса, но не с захватом контроля над системой.
Однако в марте 2026 года, на основе новой технической информации, F5 провела повторный анализ и переклассифицировала проблему в RCE. Это кардинально повышает приоритет ликвидации уязвимости: от риска «падения» сервиса поставщики и заказчики переходят к сценарию полного компрометации устройства и, потенциально, всей сети.
CISA KEV и подтверждённая активная эксплуатация
Обновлённый бюллетень F5 прямо указывает, что уязвимость уже эксплуатировалась в уязвимых версиях BIG-IP. Подробности о группировках или конкретных кампаниях при этом не раскрываются. Тем не менее включение уязвимости в каталог CISA Known Exploited Vulnerabilities означает наличие достоверных данных об эксплуатации, а не только теоретической возможности атаки.
CISA обязала федеральные гражданские ведомства США (Federal Civilian Executive Branch, FCEB) устранить уязвимость до 30 марта 2026 года. Для коммерческих компаний и международных организаций такое требование не является юридически обязательным, но служит чётким индикатором критичности инцидента.
Признаки взлома и использование webshell
F5 опубликовала набор индикаторов компрометации (IoC), которые могут помочь администраторам оценить, был ли атакован их экземпляр BIG-IP. Хотя детальный перечень индикаторов приводится в официальном бюллетене F5, особое внимание там уделяется использованию атакующими webshell.
По данным F5, фиксировались случаи, когда webshell записывался на диск устройства, однако в ряде инцидентов он функционировал исключительно в памяти. Это усложняет обнаружение: файлы на диске могут не изменяться, а вредоносная логика будет жить только в оперативной памяти. В таких условиях традиционные проверки файловой системы оказываются недостаточными, и критично важны расширенный сбор логов, поведенческий анализ и контроль сетевых аномалий.
Мнение отрасли: почему риск был недооценён
По мере появления новой информации изменилась и оценка рисков со стороны профессионального сообщества. Как отмечает основатель и CEO компании watchTowr Бенджамин Харрис, изначальное позиционирование CVE-2025-53521 как DoS-проблемы не вызывало острого чувства срочности у многих системных администраторов. Патчирование нередко планировалось в стандартные окна обслуживания.
Сейчас ситуация иная: речь идёт о предаутентификационном RCE с подтверждённой эксплуатацией, а также официальным внесением в CISA KEV. Это принципиально другой профиль угрозы, требующий быстрого реагирования и пересмотра приоритетов обновления инфраструктуры.
Рекомендации по защите инфраструктуры на базе F5 BIG-IP
Точные затронутые версии F5 BIG-IP APM перечислены в официальном уведомлении производителя и должны быть проверены каждым владельцем таких решений индивидуально. Вне зависимости от конкретной конфигурации целесообразно предпринять следующие шаги:
Немедленное обновление и проверка настроек
Установите патчи F5, устраняющие CVE-2025-53521, в максимально сжатые сроки. При невозможности немедленного обновления рассмотрите временные компенсирующие меры, рекомендованные производителем, включая ограничение доступа к административным интерфейсам и сегментацию сети.
Пересмотрите конфигурации виртуальных серверов с активными политиками доступа APM. Убедитесь, что к ним нет прямого доступа из недоверенных сетей, а управление устройством жёстко ограничено.
Усиленный мониторинг и поиск компрометации
Проведите ретроспективный анализ логов BIG-IP и системы мониторинга на предмет аномального трафика, необычных запросов к APM, неожиданных команд или подозрительных HTTP-запросов. Ищите признаки попыток записи и выполнения webshell, включая кратковременные изменения файлов или странное поведение процессов.
При наличии сомнений рассмотрите проведение целевого инцидент-респонса с участием специализированной команды, способной анализировать память, сетевые дампы и журналы на низком уровне.
Организациям, использующим F5 BIG-IP APM как критический элемент удалённого доступа и балансировки, стоит расценивать CVE-2025-53521 как сигнал к пересмотру процессов управления уязвимостями: от скорости установки патчей до глубины мониторинга и тестирования безопасности. Чем быстрее будет устранена эта уязвимость и проведена проверка на возможную компрометацию, тем ниже вероятность успешной атаки и дальнейшего развития инцидента в масштабный кризис кибербезопасности.
