SchwachstellenHackerangriffeCyberkriminalität

Kritische F5-Lücke CVE-2025-53521 wird aktiv ausgenutzt – CISA warnt vor Remote-Code-Execution

Kritische F5-Lücke CVE-2025-53521 wird aktiv ausgenutzt – CISA warnt vor Remote-Code-Execution
Zusammenfassung

Die US-amerikanische Cybersicherheitsbehörde CISA hat eine kritische Sicherheitslücke in F5 BIG-IP Access Policy Manager (APM) in ihren Katalog der aktiv ausgebeuteten Schwachstellen aufgenommen. Die Vulnerabilität CVE-2025-53521 ermöglicht es Angreifern, Remote Code Execution (RCE) durchzuführen, und weist mit einem CVSS-Score von 9,3 eine extreme Kritikalität auf. Besonders bemerkenswert ist, dass die Schwachstelle ursprünglich als Denial-of-Service-Flaw klassifiziert wurde, bevor neue Erkenntnisse ihre Neubewertung als vollständige Remote-Code-Ausführung erzwangen. F5 hat mittlerweile bestätigt, dass die Lücke bereits in der Praxis ausgenutzt wird. Sicherheitsforscher berichten von intensiven Scanning-Aktivitäten gegen verwundbare Systeme sowie von Webshells, die sowohl auf der Festplatte als auch im RAM installiert wurden. Für deutsche Unternehmen und Behörden stellt diese Entwicklung eine erhebliche Bedrohung dar, insbesondere wenn F5 BIG-IP APM in kritischen Infrastrukturen eingesetzt wird. Die Notwendigkeit einer schnellen Behebung wird durch die US-amerikanische Deadline für Bundesbehörden bis zum 30. März 2026 unterstrichen, wobei deutsche Organisationen ähnliche Dringlichkeit walten lassen sollten.

Die Situation rund um CVE-2025-53521 zeigt ein klassisches Szenario im Cybersecurity-Alltag: Eine Sicherheitslücke wird zunächst unterschätzt, später offenbaren sich ihre wahren Gefahren. F5 hatte die Anfälligkeit zunächst als Denial-of-Service-Problem klassifiziert. Doch im März 2026 erhielt das Unternehmen neue Informationen, die eine Neubewertung erforderlich machten. Das Ergebnis ist bemerkenswert: Aus einer mittelschweren DoS-Schwachstelle wurde eine kritische RCE-Lücke mit CVSS-Wert 9.3.

Besonders beunruhigend ist die bereits laufende Ausnutzung in der Praxis. F5 bestätigte, dass die Lücke “in den vulnerablen BIG-IP-Versionen” tatsächlich attackiert wird. Die Angreifer hinterlassen dabei professionelle Spuren: Neben traditionellen Webshells, die auf die Festplatte geschrieben werden, nutzen sie auch speichergestützte Varianten, die schwerer zu entdecken sind. Das macht eine forensische Analyse besonders herausfordernd.

Benjamin Harris, CEO und Gründer von watchTowr, fasst die Lage prägnant zusammen: “Was zunächst als Denial-of-Service-Problem erschien, hat sich zu einer Pre-Auth-Remote-Code-Execution mit Livezeichen entwickelt.” Das ist tatsächlich ein fundamentaler Unterschied im Risikoprofil.

Die Angreifer gehen dabei systematisch vor. Laut Defused Cyber, einem Cybersecurity-Unternehmen, werden gezielt die REST-API-Endpoints von F5 BIG-IP gescannt. Konkret betroffen ist /mgmt/shared/identified-devices/config/device-info – ein Endpunkt zur Abfrage von Systeminformationen wie Hostname, Maschinen-ID und MAC-Adressen. Dies deutet auf einen strukturierten Angriff hin, bei dem sich Eindringlinge zunächst über die Zielumgebung informieren.

Für deutsche Organisationen liegt die Handlung auf der Hand: Alle BIG-IP-APM-Instanzen sollten sofort überprüft werden. F5 hat Indikatoren veröffentlicht, um Kompromittierungen zu erkennen. Sicherheitsverantwortliche sollten auch speicherbasierte Webshells im Auge behalten – ein Einsatzmuster, das auf professionelle Angreifer deutet. Mit der CISA-KEV-Listung wird CVE-2025-53521 zur Priorität Nummer eins im Patch-Management. Wer noch nicht handelt, befindet sich bereits unter Druck.

Ähnliche Artikel