Was zunächst als Denial-of-Service-Problem (DoS) mit hohem Schweregrad galt, hat sich als deutlich gravierender erwiesen: F5 hat die Schwachstelle CVE-2025-53521 in seiner ursprünglichen Sicherheitsmeldung zu einer Schwachstelle für Remote Code Execution (RCE) heraufgestuft. Der CVSS-Wert liegt nun bei 9,3. Offengelegt worden war die Lücke im Oktober 2025, die Neubewertung erfolgte in der vergangenen Woche.
Nach Angaben von F5 lässt sich die Schwachstelle auf BIG-IP-APM-Systemen ausnutzen, bei denen für einen virtuellen Server eine Zugriffsrichtlinie eingerichtet ist. „Diese Schwachstelle erlaubt einem nicht authentifizierten Angreifer die Ausführung von Code aus der Ferne. Auch das BIG-IP-System im Appliance-Modus ist verwundbar. Es handelt sich um ein Problem der Datenebene; eine Exposition der Steuerungsebene besteht nicht“, erklärt der Hersteller.
Betroffen sind laut F5 die BIG-IP-APM-Versionen 17.5.0 bis 17.5.1, 17.1.0 bis 17.1.2, 16.1.0 bis 16.1.6 sowie 15.1.0 bis 15.1.10. Behoben wurde das Problem in den Versionen 17.5.1.3, 17.1.3, 16.1.6.1 und 15.1.10.8. F5 weist darauf hin, dass die Schwachstelle in den verwundbaren BIG-IP-Versionen ausgenutzt wurde und dass die ursprüngliche Korrektur die RCE-Lücke in den korrigierten Versionen nachweislich schließt.
Die CISA nahm die CVE-Nummer in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) auf und forderte US-Bundesbehörden auf, die Lücke innerhalb von drei Tagen zu schließen.
Zeitgleich veröffentlichte F5 Kompromittierungsindikatoren (IOCs) zu den beobachteten Angriffen auf verwundbare BIG-IP-Systeme. Dazu zählen das Vorhandensein fremder Dateien, Abweichungen bei Datei-Hashes sowie bei Dateigrößen oder Zeitstempeln und unterschiedliche Dateigrößen und Zeitstempel zwischen regulären Releases und Engineering-Hotfix-Releases (EHF).
Auf eine erfolgreiche Kompromittierung deuten zudem bestimmte Protokolleinträge und Befehlsausgaben auf verwundbaren Systemen hin sowie ausgehender HTTP/S-Verkehr, der den Content-Type CSS und HTTP-Antwortcodes 201 enthält. Organisationen jeder Art wird geraten, die Korrekturen für CVE-2025-53521 einzuspielen und die Behebung der in der KEV-Liste der CISA aufgeführten Schwachstellen vorrangig zu behandeln.
