Betroffen sind nach Angaben von F5 die BIG-IP-AMP-Versionen 17.5.0 bis 17.5.1, 17.1.0 bis 17.1.2, 16.1.0 bis 16.1.6 sowie 15.1.0 bis 15.1.10. Das Unternehmen forderte seine Kunden auf, auf eine fehlerbereinigte Version zu aktualisieren. Auch BIG-IP-Systeme im sogenannten Appliance-Modus, der den administrativen Zugriff einschränkt, sind laut F5 weiterhin angreifbar.
Separat veröffentlichte F5 Kompromittierungsindikatoren (Indicators of Compromise, IoCs) zu den beobachteten Angriffen. Bei einer erfolgreichen Installation der als c05d5254 erfassten Schadsoftware könnten Organisationen Dateien wie /run/bigtlog.pipe und /run/bigstart.ltm auf dem Datenträger feststellen. Hinzu kämen abweichende Dateigrößen, Hashes und Zeitstempel gegenüber den als unbedenklich bekannten Versionen von /usr/bin/umount und /usr/sbin/httpd. Die IoCs umfassen außerdem Log-Einträge, Befehle sowie weitere von den Angreifern eingesetzte Taktiken, Techniken und Vorgehensweisen.
Der Sicherheitsanbieter Defused beobachtete nach der Aufnahme der Schwachstelle in den KEV-Katalog der CISA Scan-Aktivitäten gegen CVE-2025-53521. „Dieser Akteur greift den Endpunkt /mgmt/shared/identified-devices/config/device-info an, einen REST-API-Endpunkt von F5 BIG-IP, über den sich Systeminformationen wie Hostname, Maschinen-ID und Basis-MAC-Adresse abrufen lassen", schrieb Defused am Freitag auf der Plattform X.
Wann die Angriffe erstmals begannen, ist unklar. Simo Kohonen, Gründer und Geschäftsführer von Defused, sagte gegenüber Dark Reading, die BIG-IP-Honeypots seines Unternehmens stünden „mehr oder weniger durchgehend unter Beschuss". Seit Freitag habe man jedoch deutliche Veränderungen in der Angriffsaktivität festgestellt, darunter neue Methoden, um F5-Instanzen zu identifizieren. „Generische Massen-Angreifer verwenden durchgehend denselben Payload-Typ, aber wir haben in der vergangenen Woche kleinere Abweichungen bei den Payloads beobachtet, was darauf hindeutet, dass mehr Akteure die Kartierung der F5-Infrastruktur ins Visier nehmen", so Kohonen.
F5-Produkte sind wiederholt Ziel unterschiedlichster Angreifer geworden. Im vergangenen Jahr drangen staatlich unterstützte Akteure bei F5 ein und entwendeten sensible Daten, darunter Quellcode der BIG-IP-Plattform.
