Критична RCE уязвимост в F5 BIG-IP APM се експлоатира

Picture of Здравко Боджов
Здравко Боджов
Уязвимости

Прекласифициране на заплаха разкрива по-сериозен риск

Компанията F5 Networks предупреди за значително повишен риск, след като прекласифицира уязвимост в своята платформа F5 BIG-IP APM от отказ на услуга (DoS) към критична уязвимост за отдалечено изпълнение на код (RCE).

Уязвимостта, проследявана като CVE-2025-53521, вече се използва активно от атакуващи за компрометиране на системи и внедряване на зловредни инструменти, включително уеб шеллове.

Какво представлява BIG-IP APM и защо е критична цел

BIG-IP APM (Access Policy Manager) е централизирано решение за управление на достъпа, което позволява на организациите да контролират достъпа до:

  • вътрешни мрежи
  • облачни услуги
  • корпоративни приложения
  • API интерфейси

Поради ролята си като входна точка към критична инфраструктура, компрометирането на APM компонент може да предостави на атакуващите широк достъп до вътрешни ресурси.

От DoS към RCE: какво се промени

Първоначално уязвимостта е била категоризирана като DoS, но нова информация, събрана през март 2026 г., показва, че тя позволява:

  • изпълнение на произволен код от разстояние
  • компрометиране на системи без необходимост от автентикация
  • инсталиране на уеб шеллове за персистентен достъп

Важно е да се подчертае, че не са необходими привилегии, за да бъде експлоатирана уязвимостта, ако са налице определени конфигурации – по-конкретно, когато има активни access policy настройки върху виртуален сървър.

Активна експлоатация и публикувани индикатори за компрометиране

От F5 Networks потвърждават, че уязвимостта вече се експлоатира в реални атаки. В отговор компанията публикува:

  • индикатори за компрометиране (IOCs)
  • насоки за проверка на системи
  • препоръки за форензик анализ

Организациите са призовани да проверят:

  • дисковите системи за подозрителни файлове
  • логовете за необичайна активност
  • командната история за следи от атака

Масова експозиция на системи в интернет

Според данни на Shadowserver Foundation, над 240 000 BIG-IP инстанции са достъпни онлайн. Все още не е ясно какъв процент от тях са уязвими или вече са защитени, но мащабът на експозицията увеличава риска от автоматизирани атаки.

Реакция от страна на CISA и спешни мерки

Cybersecurity and Infrastructure Security Agency (CISA) вече добави CVE-2025-53521 към списъка си с активно експлоатирани уязвимости и издаде спешна директива към федералните агенции в САЩ.

Срокът за предприемане на защитни мерки беше определен до 30 март, което подчертава сериозността на заплахата.

Агенцията предупреждава, че този тип уязвимости:

  • често се използват като входна точка за атаки
  • позволяват бързо разгръщане на допълнителни зловредни инструменти
  • представляват сериозен риск за критична инфраструктура

Исторически контекст и реални сценарии на атаки

Уязвимости в BIG-IP системи не са новост за атакуващите. През последните години те са били използвани от:

  • държавно подкрепени групи
  • оператори на рансъмуер
  • киберпрестъпни организации

Сред типичните сценарии на атака се наблюдават:

  • проникване във вътрешни мрежи
  • картографиране на инфраструктурата
  • внедряване на зловреден софтуер за изтриване на данни
  • кражба на чувствителна информация

Препоръки към организациите

С оглед на активната експлоатация, организациите трябва да предприемат незабавни действия:

  • да приложат наличните корекции от F5
  • да проверят системите за следи от компрометиране
  • да ограничат достъпа до административните интерфейси
  • да следват вътрешните процедури за реагиране при инциденти
  • да извършат форензик анализ преди възстановяване на засегнати системи

Особено важно е да не се пристъпва директно към възстановяване, без да бъдат събрани и анализирани доказателства за евентуална атака.

Прекласифицирането на CVE-2025-53521 от DoS към RCE показва колко динамична може да бъде оценката на заплахите в киберсигурността. Това, което първоначално изглежда като ограничен проблем, може да се окаже критична уязвимост с широко въздействие.

За организациите, използващи BIG-IP APM, ситуацията изисква незабавна реакция, задълбочен анализ и прилагане на адекватни защитни мерки, за да се минимизира рискът от компрометиране и последващи щети.

#CVE-2025-53521, # F5 BIG-IP, # RCE, # киберсигурност, # уеб шелл
e-security.bg

Подобни

Критична zero-day уязвимост в Gogs излага частни репозитории
9.06.2026
cybersecurity2
Верига от три уязвимости позволява пълен контрол над Ubiquiti UniFi OS
9.06.2026
ai-generated-9296016_640
Критична уязвимост в Check Point VPN е използвана
9.06.2026
checkpoint-logo-transparan-1024x969
Критична уязвимост в Everest Forms Pro
8.06.2026
cyber-4444450_640
CISA предупреждава за активна експлоатация на уязвимост в SolarWinds Serv-U
8.06.2026
cisa
Cisco c активно експлоатирана 0-day уязвимост в Catalyst SD-WAN Manager
8.06.2026
cisco

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy