美国网络安全局CISA周五把F5 BIG-IP访问策略管理器(APM)的CVE-2025-53521漏洞,塞进了已知利用漏洞(KEV)目录。理由简单:野外攻击证据确凿。
这个洞CVSS v4评分9.3。威胁分子搞定虚拟服务器上的APM访问策略,就能扔恶意流量,实现远程代码执行(RCE)。CVE.org描述得很直白:特定流量直奔RCE。
起初呢,F5在去年定性为拒绝服务(DoS)漏洞,评分8.7,还发了补丁。结果三月新情报一出,F5改口:这是RCE。公告更新确认,受影响版本已被野外利用。谁干的?F5没细说。
入侵痕迹留得清。文件侧:/run/bigtlog.pipe或/run/bigstart.ltm文件冒头。/usr/bin/umount和/usr/sbin/httpd的文件哈希不对劲,大小或时间戳也对不上基准版。各发布版和EHF时间戳本就不同,得比对。
日志侧:/var/log/restjavad-audit.<NUMBER>.log里有本地用户从localhost调用iControl REST API的记录。/var/log/auditd/audit.log.<NUMBER>显示本地用户从localhost禁用SELinux。/var/log/audit日志里有命令执行结果。
其他TTPs:系统完整性检查器sys-eicheck失效,因为/usr/bin/umount或/usr/sbin/httpd被改。BIG-IP发出的HTTP/S流量带201响应码和CSS内容类型,伪装攻击。
三文件变了模样:/var/sam/www/webtop/renderer/apm_css.php3、/var/sam/www/webtop/renderer/full_wt.php3、/var/sam/www/webtop/renderer/webtop_popup_css.php3。光看它们不等于中招。F5提醒:webshell多在内存跑,磁盘上不见影。
坑了哪些版?17.1.0到17.1.2(17.1.3修);17.5.0到17.5.1(17.5.1.3修);16.1.0到16.1.6(16.1.6.1修);15.1.0到15.1.10(15.1.10.8修)。
联邦民用行政机构(FCEB)限三月30日前打补丁。watchTowr CEO Benjamin Harris直言:去年DoS标签时,管理员多半不当回事。现在RCE加CISA KEV,风险翻天。
F5这波操作真够呛。初始低估DoS,漏判RCE,野外利用才醒悟。企业网尤其是APM护航的场景,RCE等于开门揖盗。想想那些依赖F5负载均衡的金融服务商,补丁不及时,数据全露。
加密圈也得警醒。BTC现报$66,397(24h -3.28%),市场本就震荡,交易所后端若搭F5 APM,这漏洞一爆,资金安全悬了。XRP报$1.34(24h -1.82%),DeFi项目多用企业级网安,RCE能直捅核心。
管理员快查指标。sys-eicheck失效?日志有localhost API调用?改文件痕迹?中招概率大。F5给的IOCs够细,跑脚本扫一遍。
CISA KEV上榜意味啥?强制联邦网修补。私企也得跟上,不然野外攻击追着咬。F5再不透明点,信任就没了。
这不光技术坑,更是信任危机。去年DoS变RCE,情报晚一年。攻手早钻空子,webshell内存藏身,查都难查。企业别拖,升级版直上。市场低迷时,安全松懈最要命。
补丁路径清:官网下17.1.3、17.5.1.3等。虚拟服务器关APM策略测试流量?先隔离。RCE野外已证,拖一天亏一天。
F5得反思通报机制。情报迭代这么慢,用户买单。CISA推KEV对头,逼大家动起来。网安圈,情报为王,晚一步全盘输。