SchwachstellenHackerangriffeCloud-Sicherheit

Kritische F5-Schwachstelle: Aus DoS-Bug wird aktiv ausgenutzte Remote-Code-Execution

Kritische F5-Schwachstelle: Aus DoS-Bug wird aktiv ausgenutzte Remote-Code-Execution
Zusammenfassung

Eine kritische Sicherheitslücke in F5s BIG-IP-Produktlinie wird derzeit aktiv von Angreifern ausgenutzt und stellt für Unternehmen weltweit ein erhebliches Risiko dar. Die Schwachstelle CVE-2025-53521 wurde ursprünglich im Oktober 2025 als Denial-of-Service-Flaw mit moderater Schweregrad eingestuft, wurde jedoch kürzlich von F5 als kritische Remote-Code-Execution-Lücke (RCE) mit einem CVSS-Score von 9,8 neu bewertet. Dies bedeutet, dass Angreifer durch gezielt manipulierte Netzwerk-Traffic potenziell vollständige Kontrolle über betroffene Systeme erlangen können. Besonders besorgniserregend ist, dass die US-Cybersecurity- und Infrastructure Security Agency (CISA) die Schwachstelle in ihr Katalog der bereits exploitierten Sicherheitslücken aufgenommen hat und Sicherheitsforscher bereits umfangreiche Angriffsaktivitäten beobachten. Für deutsche Unternehmen und Behörden, die F5 BIG-IP-Produkte zur Verwaltung von Zugriffskontrolle und Anwendungssicherheit einsetzen, ist sofortiges Handeln erforderlich. Besonders kritisch ist, dass auch Systeme im Appliance-Modus vulnerabel sind. Organisationen sollten unverzüglich ihre BIG-IP-Installationen überprüfen, auf Kompromittierungszeichen hin durchsuchen und dringend auf gepatchte Versionen aktualisieren.

Die Neubewertung der Schwachstelle basiert auf “neuen Informationen aus März 2026”, wie F5 in seinem aktualisierten Advisory mitteilte. Welche konkreten Details zur höheren Kritikalität führten, ist unklar – F5 äußerte sich dazu gegenüber Fachmedien nicht.

Die technischen Details der Lücke sind besorgniserregend: Angreifer können Remote-Code-Execution-Fähigkeiten erreichen, indem sie speziell manipulierte Netzwerkpakete an virtuelle Server schicken, die mit BIG-IP Access Policy Manager (AMP) konfiguriert sind. Betroffen sind mehrere Versionsreihen: 17.5.0 bis 17.5.1, 17.1.0 bis 17.1.2, 16.1.0 bis 16.1.6 und 15.1.0 bis 15.1.10. F5 warnt explizit davor, dass selbst Systeme im sogenannten “Appliance Mode” – der den Administratorzugriff einschränkt – nicht vor dieser Lücke schützen.

Sicherheitsforscher von Defused beobachten bereits verstärkte Scanning-Aktivitäten gegen die Schwachstelle. Das Unternehmen identifizierte, dass Angreifer gezielt den REST-API-Endpoint “/mgmt/shared/identified-devices/config/device-info” aufrufen, um Systeminformationen wie Hostname und MAC-Adresse auszulesen. Besonders alarmierend: Honeypots von Defused seien “praktisch konstant unter Beschuss”.

F5 hat umfangreiche Indikatoren zur Kompromittierung veröffentlicht. Bei erfolgreicher Ausnutzung können Dateien wie “/run/bigtlog.pipe” und “/run/bigstart.ltm” auf dem System auftauchen, ferner weichen Dateigröße und Hashes bekannter binärer Dateien wie “/usr/bin/umount” und “/usr/sbin/httpd” ab.

Die Beobachtungen zeigen ein escalierendes Bedrohungsszenario: Während generische Mass-Exploiter bisher identische Payloads nutzten, sind in der vergangenen Woche subtile Abweichungen aufgefallen. Dies deutet darauf hin, dass mehrere Akteure gezielt F5-Infrastruktur kartografieren.

Für Unternehmen mit F5-Deployments ist schnelles Handeln erforderlich. F5 fordert dringend auf, auf gepatchte Versionen zu aktualisieren und Systeme auf Kompromittierungszeichen zu prüfen. Angesichts der Tatsache, dass Nation-State-Akteure F5 bereits in der Vergangenheit angegriffen und Quellcode gestohlen haben, sollte die Bedrohung ernst genommen werden.

Ähnliche Artikel