F5 BIG-IP访问策略管理器(APM)的一个关键安全漏洞正遭到活跃利用,这使得成千上万的企业网络暴露在风险之中。这个漏洞编号为CVE-2025-53521,其影响已从最初被标记的标准拒绝服务(DoS)问题,升级为严重的远程代码执行(RCE)漏洞,随即在网络安全领域拉响了紧急警报。
美国网络安全与基础设施安全局(CISA)迅速做出反应,已将该漏洞列入其已知被利用漏洞目录,并敦促相关组织立即采取行动。根据Shadowserver基金会提供的遥测数据,研究人员在2026年3月31日这天,于全球范围内识别出了超过17,100个暴露在互联网上的F5 BIG-IP APM实例。尽管已有部分组织开始部署修复,但仍有超过14,000套系统完全暴露在公网中。从设备地理分布来看,美国和日本的受影响的实例最为集中。
考虑到BIG-IP APM通常作为企业应用访问的安全网关,攻击者一旦成功利用此漏洞,将能直接绕过企业的边界防护,渗透到内部网络中,后果可能非常严重。
补丁延迟的严重后果
这个漏洞之所以造成如此大范围的暴露,其根源在于它最初被错误地归类为了一个DoS问题。当F5首次披露CVE-2025-53521时,仅将其评定为DoS漏洞。在企业环境中,此类漏洞的修补优先级通常低于那些可直接导致入侵的威胁。安全研究人员指出,许多IT运维团队可能因为需要处理其他更紧急的安全警报,而暂时推迟了这个补丁的部署。
然而,当威胁行为体发现可以将此漏洞武器化,用于实现任意远程代码执行后,滞后的补丁部署瞬间演变成了重大的安全隐患。攻击者通过这个RCE漏洞能够完全控制F5设备,进而可以实施数据窃取、投放勒索软件,或者进行深度的网络驻留。
紧急应对措施
对于运行F5 BIG-IP APM服务的组织而言,必须将此事件视为最高优先级的“立即修补”事件。安全团队应立即采取以下措施:
- 应用厂商更新:立即查阅F5发布的安全公告(K000156741),将所有BIG-IP APM实例升级至最新的、已修复漏洞的版本。
- 假定失陷并排查:鉴于该漏洞正被活跃利用,仅仅打上补丁可能已经不够。管理员需要彻底审查系统日志,并主动搜寻已知的入侵指标(IoCs)。
- 审计外部资产:使用网络监控工具确保识别出所有面向互联网的APM接口,并立即实施严格的安全配置,限制不必要的访问。
CVE-2025-53521从一个可控的DoS漏洞迅速演变为被活跃利用的RCE漏洞,这个过程深刻地警示我们:现代网络威胁的演变速度极快,任何对漏洞严重性的误判都可能导致灾难性的后果。对于此类影响广泛基础设施组件的漏洞,保持高度的警惕性和快速的响应能力至关重要。
参考来源:
14,000+ F5 BIG-IP APM Devices Exposed Online Amid Active RCE Vulnerability Exploits
https://cybersecuritynews.com/14000-f5-big-ip-apm-exposed-online/
相关阅读推荐
想了解更多关于安全运维和漏洞响应的深度讨论?欢迎到云栈社区的安全板块与同行们交流。 | 
发表于 昨天 10:25
|
查看: 6|
回复: 0
