Les clients de **F5** sont confrontés à une situation critique car une vulnérabilité d'exécution de code à distance (RCE) dans **BIG-IP APM** est activement exploitée. L'organisation à but non lucratif de surveillance des menaces Internet **Shadowserver** a identifié plus de 14 000 instances de **BIG-IP APM** exposées en ligne, dans le cadre d'attaques continues ciblant **CVE-2025-53521**. ### Qu'est-ce que BIG-IP APM ? **BIG-IP APM** (Access Policy Manager) est la solution de proxy de gestion d'accès centralisée de **F5**. Elle est conçue pour aider les administrateurs à sécuriser l'accès aux réseaux, aux environnements cloud, aux applications et aux API de leur organisation. ### CVE-2025-53521 : De DoS à RCE La faille vieille de cinq mois, suivie sous la référence **CVE-2025-53521**, a été initialement divulguée en octobre en tant que vulnérabilité de déni de service (DoS). Cependant, elle a été reclassifiée en tant que bug RCE suite à de nouvelles informations obtenues en mars 2026. "En raison de nouvelles informations obtenues en mars 2026, la vulnérabilité d'origine est reclassifiée en RCE. La correction initiale de la **CVE** a été validée pour traiter la RCE dans les versions corrigées. Nous avons appris que cette vulnérabilité a été exploitée dans les versions **BIG-IP** vulnérables", a averti **F5** dans une récente mise à jour de son avis. Les attaquants peuvent exploiter cette vulnérabilité pour obtenir une exécution de code à distance sur les systèmes **BIG-IP APM** non corrigés, avec des politiques d'accès configurées sur un serveur virtuel, sans nécessiter de privilèges. ### Échelle de l'exposition Bien que le nombre exact d'instances **BIG-IP APM** vulnérables exposées en ligne reste inconnu, **Shadowserver** rapporte suivre plus de 17 100 adresses IP avec des empreintes **BIG-IP APM**.  Selon les données de **Shadowserver**, plus de 14 000 systèmes **BIG-IP APM** sont toujours exposés aux attaques **CVE-2025-53521**. Et ce, malgré l'ordre donné par la **Cybersecurity and Infrastructure Security Agency (CISA)** des États-Unis aux agences fédérales de sécuriser leurs systèmes **BIG-IP APM** avant lundi soir, suite à l'ajout de la vulnérabilité à sa liste des failles activement exploitées. ### Recommandations de F5 et indicateurs de compromission **F5** a publié des indicateurs de compromission (IOC) et conseille aux défenseurs de vérifier minutieusement les disques, les journaux et l'historique du terminal des appareils **BIG-IP** à la recherche de signes d'activité malveillante. Ils fournissent également des conseils sur les mesures post-compromission, y compris la reconstruction des systèmes affectés à partir de zéro. "Si les clients ne savent pas exactement quand le système a été compromis, les sauvegardes de configuration utilisateur (UCS) peuvent avoir été créées après le compromis", a déclaré l'entreprise. "**F5** recommande vivement aux clients de reconstruire la configuration à partir d'une source sûre connue, car les fichiers UCS provenant de systèmes compromis peuvent contenir des malwares persistants." ### Une cible récurrente **F5**, une entreprise technologique du Fortune 500, fournit des services de cybersécurité, de réseau de diffusion d'applications (ADN) et d'autres services à plus de 23 000 clients, dont 48 entreprises du Fortune 50. Ces dernières années, les vulnérabilités de **BIG-IP** ont été systématiquement ciblées par des acteurs étatiques et des groupes de cybercriminalité à diverses fins malveillantes, notamment : * L'intrusion dans les réseaux d'entreprise * Le détournement d'appareils * Le déploiement de malwares effaçant des données * La cartographie des serveurs internes * Le vol de données sensibles