Пятимесячная уязвимость DoS в F5 BIG-IP переросла в критический RCE, активно используемый злоумышленниками

Уязвимость в F5 BIG-IP APM, ранее ошибочно принятая за DoS, оказалась критическим RCE до аутентификации, активно эксплуатируемым для установки рут-вредоноса. CISA добавила CVE-2025-53521 в список KEV. — csoonline.com

Уязвимость, пять месяцев назад ошибочно классифицированная как проблема отказа в обслуживании (DoS) в F5 BIG-IP Access Policy Manager (APM), оказалась критической уязвимостью удаленного выполнения кода до аутентификации, которая в настоящее время активно эксплуатируется. Хакеры используют ее для развертывания постоянной вредоносной программы, работающей с правами root.

Уязвимость CVE-2025-53521 была впервые раскрыта в октябре 2025 года как проблема DoS с оценкой серьезности CVSS 7.5. В пятницу F5 обновила консультативное уведомление, переклассифицировав ее как удаленное выполнение кода и повысив оценку до CVSS 9.8 в свете полученной «новой информации». В тот же день CISA добавила эту уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV), а Центр кибербезопасности Нидерландов сообщил об активной эксплуатации.

BIG-IP APM — это решение F5 для безопасного доступа, которое позволяет предприятиям, поставщикам услуг и государственным учреждениям контролировать аутентификацию, авторизацию и VPN-доступ в удаленных, мобильных и облачных средах. Фонд Shadowserver в настоящее время отслеживает более 240 000 экземпляров F5 BIG-IP в интернете, но неясно, сколько из них работают с уязвимыми версиями.

«Когда CVE-2025-53521 от F5 впервые появилась в прошлом году как проблема отказа в обслуживании, это не сразу сигнализировало о срочности, и многие системные администраторы, вероятно, расставили приоритеты соответствующим образом», — сообщил CSO Бенджамин Харрис, генеральный директор фирмы по наступательной безопасности watchTowr. «Перенесемся в сегодняшний большой момент «ой»: ситуация существенно изменилась. То, что мы наблюдаем сейчас, — это удаленное выполнение кода до аутентификации и свидетельства эксплуатации в реальных условиях, подкрепленные листингом CISA KEV. Это совершенно иной профиль риска, чем тот, который был первоначально заявлен».

Установка исправлений — это лишь часть уравнения, и немедленное внимание команд безопасности должно быть сосредоточено на определении того, была ли уязвимость уже использована в их средах, отметил Харрис.

Уязвимость затрагивает версии BIG-IP APM 17.1.0–17.1.2, 17.5.0–17.5.1, 16.1.0–16.1.6 и 15.1.0–15.1.10. F5 выпустила исправления в версиях 17.1.3, 17.5.1.3, 16.1.6.1 и 15.1.10.8. Компания также опубликовала статью базы знаний с индикаторами компрометации, TTP злоумышленников и рекомендациями по усилению защиты от наблюдаемого вредоносного ПО.

Как работает атака

BIG-IP APM уязвим только при настройке на виртуальном сервере, что является ограничивающим фактором для атак, но это не является необычным развертыванием. Успешная эксплуатация предоставляет злоумышленникам доступ на уровне root и полный контроль над базовой операционной системой.

Компания отслеживает развернутую вредоносную программу как «c05d5254» и отмечает, что она создает файлы по путям /run/bigtlog.pipe и /run/bigstart.ltm, а также вносит изменения в системные бинарные файлы, включая /usr/bin/umount и /usr/sbin/httpd. Также было замечено, что злоумышленники модифицируют утилиту sys-eicheck, которая полагается на проверки целостности RPM для верификации исполняемых файлов на диске.

Анализ журналов может выявить закономерности, связанные с атакой. Доступ пользователя «f5hubblelcdadmin» к iControl REST API с localhost, команды отключения SELinux в журналах auditd и данные, закодированные в Base64, записанные в файлы с последующим выполнением `/run/bigstart.ltm` — все это указывает на успешное вторжение. F5 также наблюдала, как злоумышленники использовали коды ответа HTTP 201 с заголовками типа контента CSS для маскировки вредоносного трафика.

Смягчение последствий

Организации, применившие обновления октября 2025 года, уже защищены, поскольку первоначальные исправления также устраняют вектор RCE, но системы, работающие с уязвимыми версиями, требуют немедленного исправления и оценки компрометации.

Организации не должны предполагать, что их системы чисты, основываясь только на установке исправлений, поскольку файлы резервных копий UCS с скомпрометированных систем могут содержать копии вредоносного ПО. F5 рекомендует перестраивать конфигурации с нуля, а не восстанавливать из резервной копии, если период компрометации неясен.

Утилита sys-eicheck может выявить сбои целостности в /usr/bin/umount и /usr/sbin/httpd, хотя злоумышленники нацеливались на компоненты, на которые опирается этот инструмент.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Автор – Lucian Constantin

Оригинал статьи