SchwachstellenHackerangriffeMalware

Kritische F5-Sicherheitslücke wird aktiv ausgenutzt: Patch-Befehl für Behörden

Kritische F5-Sicherheitslücke wird aktiv ausgenutzt: Patch-Befehl für Behörden
Zusammenfassung

Das US-amerikanische Sicherheitsunternehmen F5 Networks hat eine kritische Sicherheitslücke in seiner BIG-IP-Software neu bewertet und erhöht die Gefährdungsstufe erheblich. Die Schwachstelle CVE-2025-53521 wurde ursprünglich als DoS-Anfälligkeit (Denial of Service) klassifiziert, wird aber nun als kritische Remote-Code-Execution-Lücke (RCE) eingestuft, da Angreifer sie aktiv ausnutzen. Die BIG-IP APM-Lösung ist ein weit verbreitetes Zugriffsverwaltungssystem, das bei mehr als 23.000 Kunden weltweit, darunter 48 Fortune-50-Unternehmen, im Einsatz ist. Cyberkriminelle haben bereits begonnen, die Lücke in Angriffen auszunutzen und Webshells auf anfälligen Systemen zu installieren. Die US-amerikanische Cybersecurity-Behörde CISA ordnete Bundesbehörden an, ihre Systeme bis zum 30. März zu sichern. Auch in Deutschland könnten Tausende Unternehmen, Finanzinstitute und behördliche Einrichtungen gefährdet sein, da BIG-IP-Systeme bei der Authentifizierung und Zugriffskontrolle weit verbreitet sind. Eine sofortige Überprüfung und schnelle Behebung der Sicherheitslücke ist daher dringend erforderlich, um Datenmissbrauch, Netzwerk-Infiltration und erhebliche Schäden zu verhindern.

Die Sicherheitslücke CVE-2025-53521 betrifft die BIG-IP Access Policy Manager (APM) von F5, eine zentrale Zugriffsverwaltungslösung, die Administratoren ermöglicht, den Benutzerzugriff auf Unternehmensnetze, Cloud-Services, Anwendungen und APIs zu kontrollieren. Sie ist in vielen Organisationen ein kritisches Element der Infrastruktur.

Was die Gefahr verschärft: Die Schwachstelle kann von nicht authentifizierten Angreifern ausgenutzt werden, wenn auf dem betroffenen BIG-IP-System Zugriffrichtlinien konfiguriert sind. F5 bestätigte am Sonntag, dass die Lücke bereits in freier Wildbahn ausgebeutet wird und warnte Unternehmen, ihre Systeme auf Anzeichen von Malware zu überprüfen – insbesondere auf den Festplatten, in Protokolldateien und in der Terminal-Historie.

Das Sicherheitsunternehmen Shadowserver überwacht inzwischen über 240.000 BIG-IP-Instanzen, die online erreichbar sind. Wie viele davon tatsächlich anfällig sind oder bereits Ziel von Angriffen wurden, ist jedoch unklar.

Die CISA handelte schnell: Am Freitag setzte die US-Behörde CVE-2025-53521 auf die Liste aktiv ausgebeuteter Schwachstellen und ordnete alle Bundesbehörden an, ihre BIG-IP-APM-Systeme bis Montag, 30. März, zu sichern. Die Behörde warnte: “Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Cyberakteure und stellt erhebliche Risiken für die föderale IT-Infrastruktur dar.”

F5 Networks selbst betreut nach eigenen Angaben 48 der Fortune-50-Unternehmen und über 23.000 Kunden weltweit. Das Unternehmen rät Verteidigern dringend, ihre Unternehmens-Sicherheitsrichtlinien zu konsultieren und forensische Best Practices zu befolgen, bevor sie versuchen, infizierte Systeme wiederherzustellen.

Historisch betrachtet haben BIG-IP-Schwachstellen bereits mehrfach als Einfallstor für Cyberattacken gedient: Nationalstaatliche Akteure und Cyberkriminelle haben diese Lücken genutzt, um Unternehmensnetze zu kompromittieren, interne Server zu identifizieren, datenvernichtende Malware zu deployen und sensible Dokumente zu stehlen.

Deutschen Organisationen wird empfohlen, die F5-Patches unverzüglich einzuspielen und verdächtige Aktivitäten auf ihren BIG-IP-Systemen zu überprüfen.

Ähnliche Artikel