Hackers now exploit critical F5 BIG-IP flaw in attacks, patch now

Escalade de criticité pour la vulnérabilité F5 BIG-IP : exécution de code à distance active

F5 Networks a reclassé une faille de sécurité affectant ses systèmes BIG-IP APM (Access Policy Manager), passant d’une vulnérabilité de déni de service (DoS) à une faille critique d’exécution de code à distance (RCE). Cette vulnérabilité est actuellement exploitée par des attaquants pour déployer des webshells sur les appareils non mis à jour.

Points clés :

• Vulnérabilité : CVE-2025-53521.
• Impact : Permet à un attaquant non authentifié d’exécuter du code arbitraire sur les systèmes BIG-IP APM ayant des politiques d’accès configurées sur un serveur virtuel.
• État actuel : La faille fait l’objet d’une exploitation active dans la nature, ce qui a conduit la CISA à l’ajouter à son catalogue des vulnérabilités exploitées (KEV).
• Exposition : Plus de 240 000 instances BIG-IP sont exposées en ligne, bien que le nombre exact de systèmes vulnérables reste indéterminé.

Recommandations :

• Mise à jour immédiate : Appliquer les correctifs fournis par F5, qui adressent désormais officiellement le risque de RCE.
• Détection d’intrusion : Analyser les disques, les journaux système et l’historique des terminaux à la recherche d’indicateurs de compromission (IOC) fournis par F5.
• Réponse aux incidents : Avant toute tentative de restauration, suivre les procédures organisationnelles de collecte de preuves et de criminalistique numérique pour confirmer l’absence d’intrusion préalable.
• Conformité : Pour les agences gouvernementales (CISA), l’application des mesures d’atténuation est obligatoire dans les délais impartis.

Source