SchwachstellenHackerangriffeCyberkriminalität

F5 BIG-IP: Kritische Sicherheitslücke wird zur aktiv genutzten RCE-Schwachstelle

F5 BIG-IP: Kritische Sicherheitslücke wird zur aktiv genutzten RCE-Schwachstelle
Zusammenfassung

# Kritische F5-Sicherheitslücke nun als Remote-Code-Execution eingestuft und aktiv ausgenutzt Eine Sicherheitslücke in F5s BIG-IP-Produktlinie wird mittlerweile als kritische Remote-Code-Execution-Schwachstelle (RCE) eingestuft, nachdem sie ursprünglich im Oktober als Denial-of-Service-Flaw klassifiziert worden war. Die Vulnerability CVE-2025-53521 erhielt eine Neubewertung mit einem kritischen CVSS-Score von 9.8 statt der ursprünglichen 7.5, basierend auf neuen Erkenntnissen aus März 2026. Das Bedrohungsmonitoring zeigt bereits aktive Ausbeutungsversuche in freier Wildbahn, weshalb die US-Cybersecurity- und Infrastructure Security Agency (CISA) die Lücke in ihren Katalog bekannter ausgebeuteter Sicherheitslücken aufnahm. Betroffen sind mehrere BIG-IP-Versionen, darunter Access Policy Manager. In Deutschland könnte dies erhebliche Auswirkungen auf Unternehmen haben, die F5-Systeme als zentrale Sicherheitskomponenten einsetzen – insbesondere in Finanzinstitutionen, Telekommunikationsunternehmen und behördlichen Einrichtungen. Da die Lücke Remote-Code-Execution ermöglicht und sogar Systeme im besonders sicheren Appliance-Mode betroffen sind, drohen Angreifern umfangreiche Kontrollmöglichkeiten. Sicherheitsexperten berichten von schnellen technischen Anpassungen durch Angreifer und intensiven Scanning-Aktivitäten, weshalb unverzügliche Sicherheitsupdates und genaue Systemüberwachung erforderlich sind.

Die Neubewertung der Schwachstelle CVE-2025-53521 markiert einen bedeutsamen Wendepunkt in der Bedrohungslandschaft für Netzwerksicherheit. Während die Lücke am 15. Oktober 2025 zunächst mit einem CVSS-Wert von 7,5 als Denial-of-Service-Bug dokumentiert wurde, offenbarte sich später ihr eigentliches, weitaus gefährlicheres Potenzial. Angreifer können die Lücke exploitieren, indem sie speziell manipulierten Datenverkehr an virtuelle Server senden, die mit BIG-IP AMP (Access Policy Manager) konfiguriert sind – und erhalten dadurch komplette Kontrolle über das System.

Besonders kritisch ist die breite Anfälligkeit mehrerer Versionsreihen: BIG-IP AMP in den Versionen 17.5.0 bis 17.5.1, 17.1.0 bis 17.1.2, 16.1.0 bis 16.1.6 und 15.1.0 bis 15.1.10 sind betroffen. F5 warnte auch, dass selbst Systeme im Appliance-Modus, die normalerweise administrativen Zugriff einschränken, verwundbar bleiben.

Die Sicherheitsfirma Defused beobachtet nach der Eintragung in CISA’s Katalog verstärkte Scanning-Aktivitäten. Besonders bemerkenswert: Angreifer richten ihre Aufmerksamkeit auf den REST-API-Endpunkt /mgmt/shared/identified-devices/config/device-info, um Systeminformationen wie Hostnamen und MAC-Adressen auszulesen. Simo Kohonen, CEO von Defused, berichtet, dass die Honeypots des Unternehmens “praktisch konstant unter Beschuss” stehen und dass sich die Angriffsmuster weiterentwickeln – neue Methoden zum Fingerprinting von F5-Infrastrukturen sind zu beobachten.

Zusätzlich zur CVE-2025-53521 warnt Defused vor aktiven Exploits gegen CVE-2026-21643, eine kritische SQL-Injection-Lücke im FortiClient Endpoint Management Server. Diese wurde am 6. Februar gepatcht, wird aber ebenfalls bereits ausgenutzt. Angreifer schmuggeln SQL-Befehle über den Site-Header in HTTP-Anfragen ein. Nach Shodan sind weltweit knapp 1.000 Instanzen des Systems öffentlich erreichbar.

F5 veröffentlichte Indicators of Compromise (IoCs) für die Exploitations-Aktivität, einschließlich verdächtiger Dateien wie /run/bigtlog.pipe und modifizierter System-Binärdateien. Für deutsche Unternehmen mit F5-Deployments ist sofortige Handlung erforderlich: Aktualisierung auf gepatchte Versionen sowie Überprüfung auf Kompromittierungszeichen sind unverzichtbar.

Ähnliche Artikel