Laut F5 kann ein Angreifer die kritische Lücke ausnutzen, indem er “spezifischen schädlichen Datenverkehr” an virtuelle Server sendet, die mit BIG-IP AMP konfiguriert sind, und dadurch Code aus der Ferne ausführen. Betroffen sind die BIG-IP-AMP-Versionen 17.5.0 bis 17.5.1, 17.1.0 bis 17.1.2, 16.1.0 bis 16.1.6 sowie 15.1.0 bis 15.1.10. F5 weist darauf hin, dass auch Systeme im sogenannten Appliance-Modus, der den administrativen Zugriff einschränkt, weiterhin verwundbar sind.
F5 hat außerdem Kompromittierungsindikatoren (IoCs) zu den Angriffen veröffentlicht. Bei erfolgreichem Einsatz der als c05d5254 erfassten Schadsoftware könnten Organisationen Dateien wie /run/bigtlog.pipe und /run/bigstart.ltm auf der Festplatte entdecken sowie Abweichungen bei Dateigrößen, Hashwerten und Zeitstempeln gegenüber den bekannten, unveränderten Versionen von /usr/bin/umount und /usr/sbin/httpd. Zu den Indikatoren zählen zudem Log-Einträge, Befehle und weitere von den Angreifern genutzte Taktiken, Techniken und Vorgehensweisen.
Der Sicherheitsanbieter Defused beobachtete nach der Aufnahme der Schwachstelle in den KEV-Katalog Scan-Aktivitäten. “Dieser Akteur greift /mgmt/shared/identified-devices/config/device-info an, einen REST-API-Endpunkt von F5 BIG-IP, über den sich Informationen auf Systemebene wie Hostname, Maschinen-ID und Basis-MAC-Adresse abrufen lassen”, erklärte Defused am Freitag auf der Plattform X. Wann die Ausnutzung erstmals begann, ist unklar. Nach Angaben von Simo Kohonen, Gründer und CEO von Defused, stehen die BIG-IP-Honeypots des Unternehmens “mehr oder weniger durchgehend unter Beschuss”. Seit Freitag habe man jedoch Veränderungen festgestellt, darunter neue Methoden, um F5-Instanzen zu identifizieren. Geringfügige Abwandlungen der eingesetzten Payloads deuteten laut Kohonen darauf hin, dass mehr Akteure die F5-Infrastruktur kartieren wollten.
Darüber hinaus meldete Defused Ausnutzungsaktivitäten gegen eine weitere F5-Schwachstelle, die den FortiClient Endpoint Management Server (EMS) betrifft. CVE-2026-21643 ist eine kritische SQL-Injection-Lücke, die am 6. Februar offengelegt und gepatcht wurde und einem Angreifer Remotecodeausführung ermöglichen kann. Laut Defused begannen die Angriffe vier Tage zuvor: Angreifer könnten SQL-Anweisungen über den “Site”-Header innerhalb einer HTTP-Anfrage einschleusen. Nach Shodan-Daten seien knapp 1.000 FortiClient-EMS-Instanzen öffentlich erreichbar. CISA hat diese Schwachstelle nicht in den KEV-Katalog aufgenommen, und F5 hat eine Ausnutzung bislang nicht bestätigt.
Laut Kohonen gibt es keine Überschneidung zwischen den beiden Angriffswellen: Die IP-Adressen, die die FortiClient-Schwachstelle ins Visier nehmen, schienen ausschließlich auf dieses System ausgerichtet zu sein; bislang seien alle beobachteten Adressen einzigartig für FortiClient. F5-Produkte waren bereits wiederholt Ziel verschiedenster Angreifer. Im vergangenen Jahr drangen staatlich unterstützte Akteure in F5 ein und entwendeten sensible Daten, darunter Quellcode der BIG-IP-Plattform.
