F5 hat die ursprüngliche Einstufung von CVE-2025-53521 in einer Aktualisierung des Sicherheitshinweises am Sonntag korrigiert. “Aufgrund neuer Informationen, die im März 2026 gewonnen wurden, wird die ursprüngliche Schwachstelle zu einer RCE umklassifiziert. Es wurde bestätigt, dass die ursprüngliche Behebung des CVE die RCE in den korrigierten Versionen abdeckt. Wir haben erfahren, dass diese Schwachstelle in den verwundbaren BIG-IP-Versionen ausgenutzt wurde”, warnte das Unternehmen.
Angreifer nutzen die Lücke ohne vorherige Berechtigungen aus, um auf nicht aktualisierten BIG-IP APM-Systemen Code aus der Ferne auszuführen. Voraussetzung ist, dass auf einem virtuellen Server Zugriffsrichtlinien eingerichtet sind. Wie viele der im Internet erreichbaren Instanzen tatsächlich eine verwundbare Konfiguration aufweisen, ist nicht bekannt.
Shadowserver erfasst nach eigenen Angaben inzwischen über 17.100 IP-Adressen mit BIG-IP APM-Merkmalen. Davon bleiben den Daten der Organisation zufolge mehr als 14.000 Systeme weiterhin angreifbar – und das, obwohl die US-Cybersicherheitsbehörde CISA die Schwachstelle in ihre Liste der aktiv ausgenutzten Sicherheitslücken aufgenommen und Bundesbehörden zur Absicherung bis Montag um Mitternacht verpflichtet hatte.
F5 hat zudem Kompromittierungsindikatoren (IOCs) veröffentlicht und rät Verteidigern, Festplatten, Protokolle und die Terminal-Historie der BIG-IP-Geräte auf Spuren bösartiger Aktivität zu prüfen. Für den Fall einer festgestellten Kompromittierung empfiehlt das Unternehmen unter anderem, betroffene Systeme vollständig neu aufzusetzen.
Besondere Vorsicht gilt bei Sicherungskopien: “Wenn Kunden nicht genau wissen, wann das System kompromittiert wurde, könnten die Backups der Benutzerkonfiguration (UCS) erst nach der Kompromittierung erstellt worden sein”, so F5. Das Unternehmen empfiehlt dringend, die Konfiguration aus einer als sauber bekannten Quelle neu aufzubauen, da UCS-Dateien kompromittierter Systeme persistente Schadsoftware enthalten können.
F5 zählt als Technologiekonzern aus der Fortune-500-Liste über 23.000 Kunden, darunter 48 Unternehmen aus den Fortune 50. Schwachstellen in BIG-IP sind in den vergangenen Jahren sowohl von staatlich gesteuerten als auch von kriminellen Gruppen ins Visier genommen worden, um in Unternehmensnetzwerke einzudringen, Geräte zu kapern, datenlöschende Malware einzusetzen, interne Server zu kartieren und sensible Daten zu entwenden.
