CISA bổ sung lỗ hổng F5 BIG-IP APM vào danh sách lỗ hổng đang bị khai thác

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.747 bài viết
CISA bổ sung lỗ hổng F5 BIG-IP APM vào danh sách lỗ hổng đang bị khai thác
WhiteHat Team
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Mỹ (CISA) vừa chính thức bổ sung lỗ hổng CVE-2025-53521 trên F5 BIG-IP Access Policy Manager (APM) vào danh sách các lỗ hổng đang bị khai thác tích cực. Đây là động thái nhằm cảnh báo các quản trị viên và những đơn vị vận hành hạ tầng mạng về mức độ nghiêm trọng của lỗ hổng, đặc biệt khi lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa (RCE) mà không cần xác thực, khai thác các chính sách truy cập APM được cấu hình trên máy chủ ảo.

F5 BIG-IP.png

Ban đầu, lỗ hổng này được F5 phân loại là gây từ chối dịch vụ (DoS) với điểm CVSS v4 8.7, mức rủi ro được đánh giá tương đối thấp. Tuy nhiên, các sự kiện gần đây vào tháng 3/2026 đã làm sáng tỏ mức độ nguy hiểm thực sự khi bằng chứng khai thác thực tế cho thấy kẻ tấn công có thể vượt qua các cơ chế bảo vệ thông thường để chiếm quyền kiểm soát hệ thống. Trước tình hình này, F5 đã tái phân loại lỗ hổng thành RCE với điểm số 9.3, phản ánh rủi ro cao hơn nhiều so với đánh giá ban đầu.

F5 cũng công bố các dấu hiệu nhận biết hệ thống bị xâm nhập để quản trị viên đánh giá nguy cơ. Một số điểm cần lưu ý:​
  • Tệp tin: xuất hiện các pipe lạ /run/bigtlog.pipe hoặc /run/bigstart.ltm; sai lệch hash, kích thước hoặc dấu thời gian của /usr/bin/umount và /usr/sbin/httpd.​
  • Nhật ký hệ thống: các mục trong restjavad-audit hoặc auditd ghi nhận người dùng local truy cập iControl REST API từ localhost để vô hiệu hóa SELinux.​
  • Hoạt động ngụy trang: tin tặc sử dụng phản hồi HTTP 201 và nội dung kiểu CSS để che giấu các thao tác trái phép.​
  • Webshell in-memory: webshell chủ yếu hoạt động trong bộ nhớ, có thể chạy mà không ghi lên đĩa, khiến các file như apm_css.php3 hay full_wt.php3 không bị thay đổi và công cụ kiểm tra tính toàn vẹn như sys-eicheck có thể bị qua mặt.​
  • Hoạt động dò quét: các chuyên gia từ Defused Cyber ghi nhận việc dò quét nhắm vào endpoint /mgmt/shared/identified-devices/config/device-info để thu thập thông tin thiết bị như hostname và địa chỉ MAC cơ sở.​
Các phiên bản bị ảnh hưởng và bản vá tương ứng:​
  • BIG-IP từ 17.5.0 đến 17.5.1 cần nâng lên 17.5.1.3​
  • BIG-IP từ 17.1.0 đến 17.1.2 cần nâng lên 17.1.3​
  • BIG-IP từ 16.1.0 đến 16.1.6 cần nâng lên 16.1.6.1​
  • BIG-IP từ 15.1.0 đến 15.1.10 cần nâng lên 15.1.10.8​
Sự chuyển đổi từ DoS sang pre-auth RCE đã nâng mức rủi ro lên mức cực kỳ nghiêm trọng, nhấn mạnh rằng các quản trị viên cần ngay lập tức vá các phiên bản bị ảnh hưởng và theo dõi sát các dấu hiệu xâm nhập để bảo vệ hạ tầng mạng trước nguy cơ bị chiếm quyền điều khiển hoàn toàn.​

Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • CISA cảnh báo lỗ hổng SolarWinds Web Help Desk có thể chiếm quyền máy chủ
  • CISA cảnh báo lỗ hổng SSRF trên GitLab đang bị khai thác, đe dọa an ninh CI/CD
  • CISA cảnh báo khẩn: Nhiều lỗ hổng đang bị tin tặc khai thác ngoài thực tế
  • CISA cảnh báo lỗ hổng VMware vCenter bị khai thác, nguy cơ chiếm quyền ESXi
  • CISA cảnh báo lỗ hổng Zimbra ZCS đang bị khai thác thực tế
  • Router TP-Link dính lỗ hổng nghiêm trọng, CISA phát cảnh báo khẩn
    • Thẻ
    apm cve-2025-53521 f5 big-ip pre-auth pre-auth rce rce webshell
    Bên trên