В пятницу Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило уязвимость CVE-2025-53521 в свой каталог известных эксплуатируемых уязвимостей (KEV). Речь идёт о критическом дефекте в F5 BIG-IP Access Policy Manager (APM), который злоумышленники уже активно используют в реальных атаках. Личность атакующих пока не установлена.
История этой уязвимости заслуживает отдельного внимания. Впервые CVE-2025-53521 появилась ещё в прошлом году, и тогда её квалифицировали как проблему типа «отказ в обслуживании» (DoS) с оценкой CVSS v4 на уровне 8.7. Неприятно, но не катастрофа. Однако в марте 2026 года F5 получила новые данные, которые заставили компанию полностью пересмотреть классификацию. Уязвимость переквалифицировали в преаутентификационное удалённое выполнение кода (RCE), а оценку подняли до 9.3 по CVSS v4. Разница между DoS и RCE огромна: если DoS просто «роняет» систему, то RCE позволяет атакующему запускать произвольный код на устройстве, даже не проходя аутентификацию.
Бенджамин Харрис, генеральный директор и основатель компании watchTowr, прокомментировал ситуацию довольно ёмко. По его словам, первоначальная классификация как DoS «не вызывала немедленного ощущения срочности» у системных администраторов. А вот переход к статусу «преаутентификационное удалённое выполнение кода» с «доказательствами эксплуатации в дикой природе» и попаданием в каталог KEV создаёт, по выражению Харриса, «большой момент типа «ой-ой»» и представляет собой совершенно иной профиль риска.
Уязвимость срабатывает, когда на виртуальном сервере настроена политика доступа BIG-IP APM и определённый вредоносный трафик попадает на это устройство. Злоумышленники бьют по конкретному эндпоинту REST API:
Что касается затронутых версий и патчей, картина следующая. Версии с 5.0 по 17.5.1 исправлены в обновлении 17.5.1.3. Ветка 17.1.0–17.1.2 закрыта в версии 17.1.3. Для линейки 16.1.0–16.1.6 нужна версия 16.1.6.1. И наконец, версии 15.1.0–15.1.10 получили фикс в 15.1.10.8. CISA установила дедлайн для федеральных гражданских ведомств (FCEB): до 30 марта 2026 года все агентства обязаны применить исправления и защитить свои сети.
F5 опубликовала довольно подробный перечень индикаторов компрометации. На файловом уровне стоит проверить наличие
В логах тоже есть на что смотреть. В файлах
Отдельная история с маскировкой. Атакующие используют HTTP/S-трафик от самой системы BIG-IP, содержащий коды ответа HTTP 201 и тип контента CSS, чтобы спрятать свою активность. Выглядит это на первый взгляд как обычный легитимный обмен данными.
Пожалуй, самое неприятное — веб-шеллы. F5 зафиксировала файлы
Ситуация с CVE-2025-53521 наглядно показывает, насколько опасна инерция в оценке уязвимостей. Пока дефект числился «всего лишь» DoS-проблемой, многие администраторы могли откладывать обновление. Теперь, когда он оказался преаутентификационным RCE с подтверждённой эксплуатацией, времени на раздумья не осталось. Всем, кто использует F5 BIG-IP APM, стоит проверить версии прошивок, изучить логи на предмет перечисленных индикаторов и установить патчи до того, как станет поздно.
Изображение носит иллюстративный характер
История этой уязвимости заслуживает отдельного внимания. Впервые CVE-2025-53521 появилась ещё в прошлом году, и тогда её квалифицировали как проблему типа «отказ в обслуживании» (DoS) с оценкой CVSS v4 на уровне 8.7. Неприятно, но не катастрофа. Однако в марте 2026 года F5 получила новые данные, которые заставили компанию полностью пересмотреть классификацию. Уязвимость переквалифицировали в преаутентификационное удалённое выполнение кода (RCE), а оценку подняли до 9.3 по CVSS v4. Разница между DoS и RCE огромна: если DoS просто «роняет» систему, то RCE позволяет атакующему запускать произвольный код на устройстве, даже не проходя аутентификацию.
Бенджамин Харрис, генеральный директор и основатель компании watchTowr, прокомментировал ситуацию довольно ёмко. По его словам, первоначальная классификация как DoS «не вызывала немедленного ощущения срочности» у системных администраторов. А вот переход к статусу «преаутентификационное удалённое выполнение кода» с «доказательствами эксплуатации в дикой природе» и попаданием в каталог KEV создаёт, по выражению Харриса, «большой момент типа «ой-ой»» и представляет собой совершенно иной профиль риска.
Уязвимость срабатывает, когда на виртуальном сервере настроена политика доступа BIG-IP APM и определённый вредоносный трафик попадает на это устройство. Злоумышленники бьют по конкретному эндпоинту REST API:
/mgmt/shared/identified-devices/config/device-info. Этот эндпоинт iControl REST API используется для получения системной информации — имени хоста, идентификатора машины, базового MAC-адреса. Не самый очевидный вектор атаки, но, видимо, рабочий. Что касается затронутых версий и патчей, картина следующая. Версии с 5.0 по 17.5.1 исправлены в обновлении 17.5.1.3. Ветка 17.1.0–17.1.2 закрыта в версии 17.1.3. Для линейки 16.1.0–16.1.6 нужна версия 16.1.6.1. И наконец, версии 15.1.0–15.1.10 получили фикс в 15.1.10.8. CISA установила дедлайн для федеральных гражданских ведомств (FCEB): до 30 марта 2026 года все агентства обязаны применить исправления и защитить свои сети.
F5 опубликовала довольно подробный перечень индикаторов компрометации. На файловом уровне стоит проверить наличие
/run/bigtlog.pipe и /run/bigstart.ltm. Также нужно сравнить хэши, размеры и временные метки файлов /usr/bin/umount и /usr/sbin/httpd с эталонными значениями для конкретного релиза. Если есть расхождения — это тревожный сигнал. Модификации этих компонентов приводят к тому, что встроенная утилита проверки целостности sys-eicheck начинает выдавать ошибки. В логах тоже есть на что смотреть. В файлах
/var/log/restjavad-audit.<NUMBER>.log могут появиться записи о том, что локальный пользователь обращается к iControl REST API с localhost. Аналогичные записи в /var/log/auditd/audit.log.<NUMBER> указывают на попытки отключить SELinux через тот же API. А в /var/log/audit можно обнаружить результаты выполнения команд. Отдельная история с маскировкой. Атакующие используют HTTP/S-трафик от самой системы BIG-IP, содержащий коды ответа HTTP 201 и тип контента CSS, чтобы спрятать свою активность. Выглядит это на первый взгляд как обычный легитимный обмен данными.
Пожалуй, самое неприятное — веб-шеллы. F5 зафиксировала файлы
php3, /var/sam/www/webtop/renderer/full_wt.php3 и /var/sam/www/webtop/renderer/webtop_popup_css.php3. Но есть нюанс: веб-шеллы записываются на диск, однако они также могут исполняться исключительно в памяти. Это значит, что перечисленные файлы не всегда будут содержать видимые изменения на диске, и отсутствие модификаций ещё не гарантирует, что система чиста. Ситуация с CVE-2025-53521 наглядно показывает, насколько опасна инерция в оценке уязвимостей. Пока дефект числился «всего лишь» DoS-проблемой, многие администраторы могли откладывать обновление. Теперь, когда он оказался преаутентификационным RCE с подтверждённой эксплуатацией, времени на раздумья не осталось. Всем, кто использует F5 BIG-IP APM, стоит проверить версии прошивок, изучить логи на предмет перечисленных индикаторов и установить патчи до того, как станет поздно.
