SchwachstellenHackerangriffeCloud-Sicherheit

Kritische F5 BIG-IP Sicherheitslücke wird aktiv ausgenutzt – RCE statt DoS

Kritische F5 BIG-IP Sicherheitslücke wird aktiv ausgenutzt – RCE statt DoS
Zusammenfassung

Eine kritische Sicherheitslücke in F5 BIG-IP-Systemen hat sich als deutlich gefährlicher entpuppt als zunächst angenommen. Die Schwachstelle CVE-2025-53521 wurde im Oktober 2025 zunächst als Denial-of-Service-Flaw (DoS) eingestuft, wurde aber inzwischen zur kritischen Remote-Code-Execution-Lücke (RCE) hochgestuft. Mit einem CVSS-Score von 9,3 ermöglicht sie unauthentifizierten Angreifern die vollständige Kontrolle über betroffene Systeme. Das Besorgnis erregende: Die Sicherheitsbehörde CISA bestätigte am Freitag, dass Cyberkriminelle diese Lücke bereits aktiv ausnutzen. Betroffen sind mehrere BIG-IP-APM-Versionen, die in vielen Unternehmen als kritische Infrastruktur-Komponenten für Zugriffsmanagement eingesetzt werden. Für deutsche Organisationen stellt dies eine erhebliche Bedrohung dar, da BIG-IP-Systeme häufig in deutschen Unternehmen und Behörden zum Einsatz kommen. CISA hat die Schwachstelle in die Liste der bekannten ausgenutzen Lücken aufgenommen und fordert Bundesbehörden auf, innerhalb von drei Tagen zu patchen. Alle Organisationen sollten unverzüglich Updates einspielen und ihre Systeme auf Indikatoren einer Kompromittierung überprüfen.

Die Schwachstelle mit der Bezeichnung CVE-2025-53521 erhielt einen CVSS-Score von 9,3 und wird nun als kritisch eingestuft. Ursprünglich war sie im Oktober 2025 nur als hochgradiges Denial-of-Service-Problem dokumentiert worden. Die Neubewertung erfolgte erst letzte Woche, als Sicherheitsforscher das echte Gefährdungspotenzial erkannten.

Betroffen sind alle BIG-IP APM-Versionen von 17.5.0 bis 17.5.1, 17.1.0 bis 17.1.2, 16.1.0 bis 16.1.6 sowie 15.1.0 bis 15.1.10. F5 hat inzwischen korrigierte Versionen bereitgestellt (17.5.1.3, 17.1.3, 16.1.6.1 und 15.1.10.8), in denen die Schwachstelle behoben ist.

Das größte Problem: Die Lücke ermöglicht unauthentizierten Angreifern die Fernausführung von Code (Remote Code Execution) auf BIG-IP-Systemen, auf denen eine Zugriffsrichtlinie (Access Policy) auf einem virtuellen Server konfiguriert ist. F5 betont, dass es sich um einen “Data-Plane”-Fehler handelt – also um ein Problem in der Datenverarbeitung, nicht in der Verwaltungsebene.

Besonders beunruhigend ist die Tatsache, dass diese Schwachstelle bereits gezielt ausgenutzt wird. CISA hat CVE-2025-53521 in seinen Katalog der “Known Exploited Vulnerabilities” aufgenommen und fordert Bundesbehörden auf, das Sicherheitsupdate innerhalb von drei Tagen einzuspielen. Für private Organisationen gibt es zwar keine zeitliche Vorgabe, doch das Patchen sollte höchste Priorität haben.

F5 veröffentlichte zugleich Indikatoren für erfolgreiche Angriffe (IOCs), auf die Administratoren achten sollten: verdächtige Dateien im System, abweichende Datei-Hashes und Timestamps, sowie ungewöhnlicher HTTP/HTTPS-Traffic mit CSS-Content-Type und HTTP-201-Antworten deuten auf eine Kompromittierung hin.

Deutsche Unternehmen und Behörden sollten ihre F5-BIG-IP-Infrastruktur sofort überprüfen und – falls verwundbare Versionen im Einsatz sind – unverzüglich aktualisieren. BIG-IP-Systeme sind oft kritische Komponenten der IT-Infrastruktur und dienen als Gateway für sensible Anwendungen. Ein erfolgreicher Angriff könnte zu vollständiger Systemkompromittierung führen.

Ähnliche Artikel