Ursprünglich war CVE-2025-53521 als reine DoS-Schwachstelle kategorisiert und behoben worden. In einer am Sonntag veröffentlichten Aktualisierung des Sicherheitshinweises erklärte F5, aufgrund neuer Informationen aus dem März 2026 sei die Lücke zu einer RCE-Schwachstelle umgestuft worden. Die ursprüngliche Behebung adressiere die Remote-Code-Ausführung in den korrigierten Versionen bereits; zugleich habe man erfahren, dass die Schwachstelle in den verwundbaren BIG-IP-Versionen ausgenutzt wurde.
Die Lücke betrifft BIG-IP-APM-Systeme, auf deren virtuellem Server Zugriffsrichtlinien konfiguriert sind. Angreifer können sie ohne Privilegien ausnutzen und Code aus der Ferne ausführen. F5 stellte Kompromittierungsindikatoren bereit und riet Verteidigern, Datenträger, Protokolle und die Terminal-Historie ihrer BIG-IP-Systeme auf Hinweise auf bösartige Aktivität zu untersuchen.
Das Unternehmen empfahl zudem, vor jedem Wiederherstellungsversuch die unternehmenseigenen Sicherheitsrichtlinien zu konsultieren – insbesondere die Vorgaben zur Beweissicherung und zu forensischen Verfahren bei einem Sicherheitsvorfall.
Die gemeinnützige Organisation Shadowserver, die Bedrohungen im Internet beobachtet, zählt derzeit über 240.000 online erreichbare BIG-IP-Instanzen. Wie viele davon eine verwundbare Konfiguration aufweisen oder bereits gegen Angriffe über CVE-2025-53521 abgesichert sind, ist nicht bekannt.
Die US-Behörde CISA nahm die Schwachstelle am Freitag in ihren Katalog aktiv ausgenutzter Sicherheitslücken auf und verpflichtete US-Bundesbehörden, ihre BIG-IP-APM-Systeme bis Montag, den 30. März, um Mitternacht abzusichern. Diese Art von Schwachstelle sei ein häufiger Angriffsvektor und stelle ein erhebliches Risiko für die Bundesverwaltung dar, warnte die Behörde. Sie forderte, die Hersteller-Vorgaben umzusetzen, die geltenden Richtlinien für Cloud-Dienste zu befolgen oder das Produkt andernfalls nicht weiter zu verwenden.
In den vergangenen Jahren wurden BIG-IP-Schwachstellen von staatlich unterstützten Gruppen und Cyberkriminellen ausgenutzt, um in Unternehmensnetze einzudringen, interne Server zu kartieren, datenlöschende Malware einzuschleusen, Geräte zu kapern und vertrauliche Dokumente zu entwenden. F5 ist ein Technologiekonzern aus der Fortune-500-Liste und stellt nach eigenen Angaben mehr als 23.000 Kunden weltweit Dienste in den Bereichen Cybersicherheit und Anwendungsbereitstellung zur Verfügung, darunter 48 der Fortune-50-Unternehmen.
