Die ursprüngliche Einstufung der Lücke als reines Denial-of-Service-Problem prägte zunächst die Risikobewertung. F5 zufolge führte erst die im März 2026 gewonnene neue Information zur Neuklassifizierung als Remote-Code-Execution-Schwachstelle. Der CVSS-v4-Wert stieg dabei von 8,7 auf 9,3.
Nach der Bestätigung der Ausnutzung veröffentlichte F5 mehrere Indikatoren, mit denen sich prüfen lässt, ob ein System kompromittiert wurde. Dabei warnte das Unternehmen ausdrücklich vor einer schwer fassbaren Vorgehensweise der Angreifer: Man habe Fälle beobachtet, in denen eine Webshell auf die Festplatte geschrieben wurde, allerdings hätten die Webshells nur im Arbeitsspeicher gearbeitet. Die aufgeführten Dateien seien deshalb möglicherweise gar nicht verändert worden.
Wegen der laufenden Angriffe müssen die US-Bundesbehörden die Korrekturen bis zum 30. März 2026 einspielen, um ihre Netzwerke abzusichern.
Benjamin Harris, CEO und Gründer von watchTowr, ordnete die Entwicklung in einer Stellungnahme gegenüber The Hacker News ein. Als CVE-2025-53521 zunächst als Denial-of-Service-Problem aufgetaucht sei, habe die Lücke keine unmittelbare Dringlichkeit signalisiert, weshalb viele Administratoren sie entsprechend niedrig priorisiert hätten. Inzwischen habe sich die Lage deutlich verändert: Beobachtet werde nun eine Remote-Code-Execution ohne vorherige Authentifizierung sowie eine Ausnutzung in freier Wildbahn, untermauert durch den Eintrag im KEV-Katalog. Das sei ein völlig anderes Risikoprofil als ursprünglich kommuniziert.
Auch Defused Cyber bestätigte in einem Beitrag auf X, dass nach der Aufnahme von CVE-2025-53521 in den KEV-Katalog eine ausgeprägte Scan-Aktivität gegen verwundbare F5-BIG-IP-Geräte zu beobachten sei. Der Akteur ziele dabei auf den Endpunkt /mgmt/shared/identified-devices/config/device-info, eine REST-API-Schnittstelle von F5 BIG-IP, über die sich Informationen auf Systemebene wie Hostname, Maschinen-ID und Basis-MAC-Adresse abrufen lassen.
