**F5**-Kunden sehen sich einer kritischen Situation gegenüber, da eine Remote Code Execution (RCE)-Schwachstelle in **BIG-IP APM** aktiv ausgenutzt wird. Die gemeinnützige Organisation **Shadowserver**, die Internet-Bedrohungen überwacht, hat über 14.000 **BIG-IP APM**-Instanzen online identifiziert, die inmitten laufender Angriffe auf **CVE-2025-53521** exponiert sind. ### Was ist BIG-IP APM? **BIG-IP APM** (Access Policy Manager) ist **F5**s zentrale Lösung für das Zugriffsmanagement-Proxy. Sie wurde entwickelt, um Administratoren dabei zu unterstützen, den Zugriff auf die Netzwerke, Cloud-Umgebungen, Anwendungen und APIs ihrer Organisationen zu sichern. ### CVE-2025-53521: Von DoS zu RCE Der fünf Monate alte Fehler, der als **CVE-2025-53521** verfolgt wird, wurde ursprünglich im Oktober als Denial-of-Service (DoS)-Schwachstelle offengelegt. Nach neuen Informationen, die im März 2026 gewonnen wurden, wurde er jedoch als RCE-Bug neu eingestuft. "Aufgrund neuer Informationen, die im März 2026 gewonnen wurden, wird die ursprüngliche Schwachstelle als RCE neu kategorisiert. Die ursprüngliche **CVE**-Behebung wurde validiert, um die RCE in den behobenen Versionen zu adressieren. Wir haben erfahren, dass diese Schwachstelle in den anfälligen **BIG-IP**-Versionen ausgenutzt wurde", warnte **F5** in einem aktuellen Advisory-Update. Angreifer können diese Schwachstelle ausnutzen, um auf ungepatchten **BIG-IP APM**-Systemen mit auf einem virtuellen Server konfigurierten Zugriffspolicys Remote Code Execution zu erlangen, ohne dass dafür Privilegien erforderlich sind. ### Ausmaß der Exposition Obwohl die genaue Anzahl der online exponierten, anfälligen **BIG-IP APM**-Instanzen unbekannt bleibt, berichtet **Shadowserver**, über 17.100 IPs mit **BIG-IP APM**-Fingerabdrücken zu verfolgen.  Laut den Daten von **Shadowserver** sind mehr als 14.000 **BIG-IP APM**-Systeme weiterhin **CVE-2025-53521**-Angriffen ausgesetzt. Dies geschieht, obwohl die U.S. **Cybersecurity and Infrastructure Security Agency (CISA)** Bundesbehörden angewiesen hat, ihre **BIG-IP APM**-Systeme bis Montagnacht zu sichern, nachdem die Schwachstelle in die Liste der aktiv ausgenutzten Fehler aufgenommen wurde. ### Empfehlungen von F5 und Indikatoren für eine Kompromittierung **F5** hat Indikatoren für eine Kompromittierung (IOCs) veröffentlicht und rät Verteidigern, die Festplatten, Protokolle und Terminalverläufe von **BIG-IP**-Geräten gründlich auf Anzeichen bösartiger Aktivitäten zu überprüfen. Sie bieten auch Anleitungen zu Maßnahmen nach einer Kompromittierung, einschließlich des Wiederaufbaus betroffener Systeme von Grund auf. "Wenn Kunden nicht genau wissen, wann das System kompromittiert wurde, wurden möglicherweise nach der Kompromittierung Benutzerkonfigurationssätze (UCS)-Backups erstellt", erklärte das Unternehmen. "**F5** empfiehlt dringend, dass Kunden die Konfiguration aus einer bekannten, guten Quelle wiederherstellen, da UCS-Dateien von kompromittierten Systemen persistente Malware enthalten können." ### Ein wiederkehrendes Ziel **F5**, ein Fortune-500-Technologieunternehmen, bietet über 23.000 Kunden, darunter 48 Fortune-50-Unternehmen, Cybersicherheit, Application Delivery Networking (ADN) und andere Dienstleistungen an. In den letzten Jahren wurden **BIG-IP**-Schwachstellen konsequent sowohl von staatlichen Akteuren als auch von Cybercrime-Gruppen für verschiedene bösartige Zwecke ausgenutzt, darunter: * Einbruch in Unternehmensnetzwerke * Übernahme von Geräten * Bereitstellung von Datenlöschungs-Malware * Kartierung interner Server * Diebstahl sensibler Daten