SchwachstellenHackerangriffeCyberkriminalität

Über 14.000 F5 BIG-IP-Systeme weltweit offen für kritische RCE-Angriffe

Über 14.000 F5 BIG-IP-Systeme weltweit offen für kritische RCE-Angriffe
Zusammenfassung

Die Sicherheitsmitteilung der gemeinnützigen Organisation Shadowserver offenbart ein erhebliches Risiko für kritische Infrastrukturen weltweit: Über 14.000 F5 BIG-IP APM-Instanzen sind online erreichbar und anfällig für aktiv ausgenutzte Remote-Code-Execution-Angriffe. Die Schwachstelle CVE-2025-53521 wurde ursprünglich im Oktober als Denial-of-Service-Bug klassifiziert, wurde aber erst kürzlich als kritische RCE-Lücke neu bewertet, nachdem Angreifer erfolgreich Exploits gegen ungepatzte Systeme einsetzten. F5 BIG-IP APM ist eine zentrale Zugangsmanagement-Lösung, die von über 23.000 Kunden weltweit eingesetzt wird, darunter 48 der Fortune-50-Unternehmen, um den Zugriff auf Netzwerke, Cloud-Services und APIs zu sichern. Für deutsche Unternehmen und Behörden stellt diese Lücke eine unmittelbare Bedrohung dar, da Angreifer ohne spezielle Authentifizierung Fernzugriff auf vulnerable Systeme erlangen können. Die US-Cybersecurity and Infrastructure Security Agency (CISA) hat bereits ein Patch-Mandat für Bundesbehörden erlassen. Deutsche Organisationen, die BIG-IP APM-Systeme betreiben, sollten sofort auf Patches prüfen und ihre Systeme auf Kompromittierungszeichen überprüfen, da Sicherungsbackups von kompromittierten Geräten persistent Malware enthalten könnten.

Die Schwachstelle CVE-2025-53521 wurde ursprünglich im Oktober als Denial-of-Service-Lücke (DoS) klassifiziert. Doch am Wochenende wurde sie massiv hochgestuft: F5 stufte die Sicherheitslücke nach neuen Erkenntnissen vom März 2026 zur kritischen Remote-Code-Execution-Schwachstelle um. Dies bedeutet, dass Angreifer beliebigen Code auf betroffenen Systemen ausführen können – eine der schwerwiegendsten Angriffsszenarien in der IT-Sicherheit.

F5 BIG-IP APM (Access Policy Manager) ist eine zentrale Zugriffsverwaltungslösung, die Administratoren beim Schutz von Netzwerkzugriffen, Cloud-Infrastrukturen, Anwendungen und APIs unterstützt. Die Plattform genießt in Unternehmen weltweit hohes Vertrauen – was die aktuelle Situation umso kritischer macht.

Laut Shadowserver sind derzeit über 17.100 IP-Adressen mit BIG-IP-APM-Fingerprints im Internet identifizierbar. Doch mehr als 14.000 dieser Systeme weisen die anfällige Konfiguration auf, sind nicht gepatcht und damit direkt angreifbar. Besonders bemerkenswert: Dies ist trotz einer Dringlichkeitsmitteilung der US-Behörde CISA der Fall, die das Exploiting dieser Lücke bereits auf ihre Liste aktiv ausgenutzer Schwachstellen setzte und föderale Agenturen zu sofortiger Remediation aufforderte.

Die praktischen Implikationen sind erheblich. Angreifer können ohne jegliche Authentifizierung oder Berechtigungen auf anfälligen BIG-IP-APM-Instanzen Code ausführen, sofern Zugriffsrichtlinien auf virtuellen Servern konfiguriert sind. F5 warnt außerdem vor einer neuen Bedrohung: Sicherungsfiles (UCS-Backups) kompromittierter Systeme könnten bereits mit Malware infiziert sein und sollten deshalb nicht für die Wiederherstellung verwendet werden.

Das Unternehmen empfiehlt betroffenen Organisationen, ihre Systeme von Grund auf aus bekannten sauberen Quellen neu aufzubauen. Zudem sollten Logs, Festplattenspeicher und Terminalhistorien auf Anzeichen von Malware überprüft werden. Auch Indikatoren für Kompromittierungen wurden veröffentlicht.

Historisch zeigt sich: BIG-IP-Vulnerabilities waren in den vergangenen Jahren bevorzugte Angriffsziele – sowohl von staatlichen Akteuren als auch von Cyberkriminellen. Sie wurden genutzt, um Unternehmensnetzwerke zu infiltrieren, Geräte zu kapern, Daten-Lösch-Malware bereitzustellen und sensible Informationen zu stehlen.

Ähnliche Artikel