CISA Adds CVE-2025-53521 to KEV After Active F5 BIG-IP APM Exploitation

Exploitation active de la faille RCE critique dans F5 BIG-IP APM

La CISA a ajouté la vulnérabilité CVE-2025-53521 à son catalogue KEV (Known Exploited Vulnerabilities) après la confirmation d’attaques actives. Initialement classée comme un simple problème de déni de service (DoS), cette faille a été reclassée en exécution de code à distance (RCE) critique suite à de nouvelles découvertes.

Points clés :

• Gravité : Score CVSS v4 de 9.3.
• Mécanisme : La vulnérabilité est exploitable via l’envoi de trafic malveillant spécifique vers un serveur virtuel configuré avec une politique d’accès APM.
• Impact : Des attaquants utilisent cette faille pour injecter des webshells (parfois résidant uniquement en mémoire) et effectuer des activités de reconnaissance via l’API iControl REST.
• Observed TTPs : Modification de fichiers système (/usr/bin/umount, /usr/sbin/httpd), désactivation de SELinux, et dissimulation d’activités via des réponses HTTP 201 avec un type de contenu CSS.

Vulnérabilité :

• CVE-2025-53521 : RCE dans F5 BIG-IP Access Policy Manager (APM).

Recommandations :

• Mise à jour immédiate : Appliquer les correctifs fournis par F5 pour les versions impactées :
  • 17.5.0 - 17.5.1 (Correctif : 17.5.1.3)
  • 17.1.0 - 17.1.2 (Correctif : 17.1.3)
  • 16.1.0 - 16.1.6 (Correctif : 16.1.6.1)
  • 15.1.0 - 15.1.10 (Correctif : 15.1.10.8)
• Détection d’intrusion : Auditer les logs système pour identifier des accès suspects à l’API iControl REST (notamment depuis localhost) et vérifier l’intégrité des fichiers système (sys-eicheck) pour détecter toute altération ou modification de taille/horodatage suspecte.
• Conformité : Les agences fédérales américaines ont reçu l’obligation de remédier à cette faille avant le 30 mars 2026.

Source