A agência americana Cybersecurity and Infrastructure Security Agency (CISA) adicionou na última sexta-feira uma falha crítica de segurança que afeta o F5 BIG-IP Access Policy Manager (APM) ao seu catálogo Known Exploited Vulnerabilities (KEV), citando evidências de exploração ativa.
A vulnerabilidade, identificada como
CVE-2025-53521
e com pontuação 9,3 no CVSS v4, permite que um atacante remoto execute código no sistema. O BIG-IP APM é uma solução proxy centralizada para gerenciamento de acesso, que permite aos administradores controlar e proteger o acesso de usuários às redes, à nuvem, a aplicações e APIs das organizações.
Segundo a descrição no CVE.org, "quando uma política de acesso do BIG-IP APM está configurada em um servidor virtual, tráfego malicioso específico pode levar à execução remota de código (RCE)". Identificada inicialmente como uma falha de negação de serviço (DoS) com pontuação 8,7, a F5 Networks revisou essa avaliação após novas informações obtidas em março de 2026, reclassificando o problema como RCE.
A empresa também atualizou seu aviso confirmando que a vulnerabilidade vem sendo explorada em versões vulneráveis do BIG-IP, sem divulgar detalhes sobre os responsáveis pelos ataques. A F5 alertou que invasores já exploram essa brecha para instalar webshells em dispositivos sem patch, sendo que a maioria dessas webshells funciona apenas em memória, o que dificulta a detecção em disco.
Além disso, a F5 divulgou diversos indicadores de comprometimento (IOCs) para ajudar a identificar sistemas afetados. Entre eles, a presença dos arquivos /run/bigtlog.pipe e/ou /run/bigstart.ltm; divergências nos hashes dos arquivos em comparação às versões legítimas de /usr/bin/umount e /usr/sbin/httpd; e diferenças nos tamanhos ou timestamps desses mesmos arquivos, considerando que cada release e Emergency Hotfix (EHF) pode apresentar variações.
Nos logs, sinais suspeitos incluem entradas em /var/log/restjavad-audit.<NÚMERO>.log mostrando um usuário local acessando a API iControl REST via localhost; registros em /var/log/auditd/audit.log.<NÚMERO> indicando tentativas desse usuário de desabilitar o SELinux pelo iControl REST API; e mensagens em /var/log/audit que revelam comandos executados auditavelmente.
Outras técnicas observadas envolvem alterações nos componentes usados pelo verificador de integridade do sistema, sys-eicheck, causando falhas na ferramenta — especificamente nos arquivos /usr/bin/umount e /usr/sbin/httpd — o que sinaliza modificações inesperadas no software do sistema.
Também foi notada atividade HTTP/S do BIG-IP que inclui códigos de resposta 201 e conteúdo do tipo CSS, usados para mascarar ações do atacante. Foram detectadas ainda mudanças em três arquivos específicos, embora sua presença não indique necessariamente comprometimento direto: /var/sam/www/webtop/renderer/apm_css.php3, /var/sam/www/webtop/renderer/full_wt.php3 e /var/sam/www/webtop/renderer/webtop_popup_css.php3.
A F5 recomendou que responsáveis pelas redes verifiquem discos, logs e histórico de terminais dos sistemas BIG-IP para detectar possíveis atividades maliciosas, seguindo também políticas internas de segurança para tratamento de incidentes, especialmente quanto às melhores práticas forenses e à coleta de evidências antes da recuperação do sistema.
As versões afetadas são:
- 17.5.0 a 17.5.1 (corrigido na 17.5.1.3)
- 17.1.0 a 17.1.2 (corrigido na 17.1.3)
- 16.1.0 a 16.1.6 (corrigido na 16.1.6.1)
- 15.1.0 a 15.1.10 (corrigido na 15.1.10.8)
Diante da exploração ativa, as agências do Federal Civilian Executive Branch (FCEB) receberam prazo até 30 de março de 2026 para aplicar os patches e proteger suas redes contra essa ameaça, seguindo as orientações da CISA.
“Esse tipo de vulnerabilidade é vetor comum para ciberataques maliciosos e representa riscos significativos à infraestrutura federal”, alertou a CISA. “Aplique as mitigações conforme as instruções do fornecedor, siga as orientações do BOD 22-01 para serviços em nuvem ou descontinue o uso do produto caso não existam soluções.”
Benjamin Harris, CEO da watchTowr, comentou: "Quando o
CVE-2025-53521
surgiu no ano passado como uma falha DoS, não foi tratado com urgência por muitos administradores. Agora a situação mudou drasticamente. Observamos execução remota de código sem autenticação e evidências de exploração em campo, com a lista da CISA KEV respaldando isso. Esse é um perfil de risco completamente diferente do inicialmente comunicado."
A organização sem fins lucrativos Shadowserver, que monitora ameaças na internet, identifica mais de 240 mil instâncias do BIG-IP expostas online. Contudo, não há dados precisos sobre quantas estão vulneráveis ou protegidas contra ataques relacionados à
CVE-2025-53521
.
Nos últimos anos, vulnerabilidades no BIG-IP têm sido exploradas por grupos patrocinados por estados-nação e criminosos cibernéticos para invadir redes corporativas, mapear servidores internos, implantar malwares destrutivos, sequestrar dispositivos e roubar documentos sensíveis.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...