美國網路安全與基礎設施安全局週五發出警告，F5 的 BIG-IP 存取策略管理器 (APM) 解決方案中存在一個嚴重的未經身份驗證的遠端程式碼執行漏洞 (CVE-2025-53521)，該漏洞正被積極利用。在F5更新了相關的安全公告後， CISA將該漏洞添加到了其「已知已利用漏洞」目錄中。

該公告最初於 2025 年 10 月 15 日發布，當時 F5 確認了一起資料外洩事件，導致「高度複雜的國家級威脅行為者」存取了BIG-IP 原始碼和有關未公開漏洞的資訊等內容。後來發現，攻擊者與中國有關聯，在該公司網路中潛伏了至少 12 個月，並且可能在 F5 客戶的系統中部署了Brickstorm 後門。

關於 CVE-2025-53521

F5 BIG-IP APM 提供存取策略執行功能，以確保對應用程式、API 和資料的存取安全。它主要被企業、金融機構以及政府和公共部門組織使用。CVE-2025-53521 影響BIG-IP APM 版本 17.5.0 至 17.5.1、17.1.0 至 17.1.2、16.1.0 至 16.1.6 和 15.1.0 至 15.1.10 中的實時流量）（該進程處理

最初人們認為 CVE-2025-53521 只會導致 BIG-IP APM 系統的正常運作中斷（即「拒絕服務」）。

F5 現在表示：「由於 2026 年 3 月獲得了新的信息，原始漏洞被重新歸類為 RCE，CVSS 評分分別為 9.8（CVSS v3.1）和 9.3（CVSS v4.0）。當在虛擬伺服器上配置 BIG-IP APM 存取策略時，特定的惡意流量可能導致遠端程式碼執行。處於裝置模式的 BIG-IP 系統也存在這種漏洞。」

不過，該公司在 2025 年 10 月提供的修補程式確實有效，而且迅速更新到修復版本之一的客戶可能已經避免了妥協。

存在妥協跡象

可惜的是，該安全公告並未說明漏洞何時開始被利用，只提到漏洞是在2026年3月被發現的。因此，有可能有些BIG-IP APM系統在打補丁前就已經被攻破了。F5 公佈了與「惡意軟體 c05d5254」及相關活動有關的已知入侵指標列表，並敦促客戶檢查其 BIG-IP 系統。

客戶可能會發現磁碟上的特定檔案、檔案變更、指向本機使用者停用 SELinux 安全模組的日誌條目，以及來自 BIG-IP 系統的特定 HTTP/S 流量。

該公司指出：「我們觀察到有 webshell 被寫入磁碟的情況；但是，我們觀察到這些 webshell 僅在內存中運行，這意味著（文檔中）列出的文件可能不會被修改。」

F5 也偵測到威脅行為者正在修改 BIG-IP 系統完整性檢查器 sys-eicheck 的功能。“我們目前的理解是，攻擊者修改了一個分區（原始運行版本已被入侵）中的[特定]組件，但未能對第二個分區（升級目標分區）進行相同的修改。當客戶升級並重啟進入第二個分區後，對系統安全檢查組件的修改並未保留。”

美國網路安全和基礎設施安全局 (CISA) 已下令美國聯邦民事機構在周一（3 月 30 日）之前評估與 CVE-2025-53521 利用相關的風險敞口並減輕風險。

資料來源：https://www.helpnetsecurity.com/2026/03/28/big-ip-apm-vulnerability-cve-2025-53521-exploited/