Агентство по кибербезопасности и защите критической инфраструктуры США (CISA) выпустило экстренное предупреждение о новой активно эксплуатируемой уязвимости в системах F5 BIG-IP. Ошибка, получившая идентификатор CVE-2025-53521, была внесена в каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities), что является официальным сигналом: злоумышленники уже используют её в реальных атаках. Для организаций, чья сетевая инфраструктура построена на продуктах F5, это означает необходимость немедленных действий по устранению угрозы, в противном случае компрометация сети становится лишь вопросом времени.
Уязвимость CVE-2025-53521
Суть угрозы заключается в модуле F5 BIG-IP AMP (Advanced Web Application Firewall). Хотя технические детали эксплуатации пока не раскрыты ни вендором, ни CISA, последствия успешной атаки крайне серьёзны. Уязвимость позволяет удалённому злоумышленнику выполнить произвольный код на целевом устройстве без необходимости предварительной аутентификации. Это классифицируется как уязвимость для удалённого выполнения кода (Remote Code Execution, RCE), один из наиболее опасных классов угроз.
Особую тревогу вызывает роль, которую устройства F5 BIG-IP играют в корпоративных сетях. Эти аппаратные или программные решения обычно развёрнуты на самом периметре, выполняя функции балансировщиков нагрузки, межсетевых экранов и шлюзов приложений. Будучи пограничными устройствами, они по определению обращены к интернету и часто оказываются вне зоны действия многих внутренних систем безопасности, таких как средства защиты конечных точек (Endpoint Detection and Response, EDR). Таким образом, успешная эксплуатация CVE-2025-53521 предоставляет атакующему полный контроль над критически важным сетевым узлом. С этой позиции злоумышленники могут перехватывать и модифицировать чувствительный веб-трафик, подменять запросы к бизнес-приложениям или, что ещё опаснее, использовать скомпрометированный BIG-IP в качестве плацдарма для скрытого перемещения вглубь корпоративной сети. Обнаружить такую активность стандартными средствами мониторинга крайне сложно, поскольку она исходит из доверенного сетевого устройства.
На текущий момент исследователи в области кибербезопасности не подтвердили использование этой конкретной уязвимости в атаках программами-вымогателями. Однако её характеристики идеально соответствуют запросам так называемых брокеров начального доступа (initial access brokers). Эти злоумышленники специализируются на поиске и эксплуатации подобных уязвимостей в периферийном оборудовании, чтобы затем продавать полученный доступ к корпоративным сетям более специализированным группировкам, включая операторов программ-вымогателей или APT-группы.
В связи с высокой степенью опасности и фактами активной эксплуатации в дикой природе (in-the-wild), CISA установило жёсткие сроки для устранения угрозы. В соответствии с Обязательным оперативным директивным указанием (Binding Operational Directive, BOD) 22-01, все федеральные гражданские ведомства исполнительной власти (Federal Civilian Executive Branch, FCEB) обязаны устранить или смягчить последствия уязвимости до 30 марта 2026 года. Хотя формально директива распространяется только на государственные агентства, CISA настоятельно рекомендует всем частным компаниям и специалистам по безопасности рассматривать этот срок как критически важный ориентир.
Меры реагирования очевидны, но требуют оперативности. Командам безопасности необходимо немедленно применять обновления или временные меры защиты, предоставленные вендором F5. Если для конкретной конфигурации или версии продукта патч в данный момент недоступен, администраторам следует рассмотреть возможность временного отключения уязвимого устройства F5 BIG-IP от сети до момента развёртывания безопасного решения. Промедление в данном случае создаёт прямой и неоправданный риск для всей корпоративной инфраструктуры, превращая ключевой элемент защиты в её слабейшее звено. Этот инцидент в очередной раз подчёркивает, что безопасность периметра не может быть предметом компромиссов, а своевременное обновление критически важного сетевого оборудования должно быть приоритетной задачей для любой организации.
Ссылки
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=CVE-2025-53521
- https://www.cve.org/CVERecord?id=CVE-2025-53521
- https://my.f5.com/manage/s/article/K000156741
