**F5**の顧客は、**BIG-IP APM**におけるリモートコード実行（RCE）脆弱性が活発に悪用されているという深刻な状況に直面しています。インターネット脅威監視非営利団体である**Shadowserver**は、進行中の**CVE-2025-53521**を標的とした攻撃の中で、オンラインで公開されている14,000以上の**BIG-IP APM**インスタンスを特定しました。 ### BIG-IP APMとは？ **BIG-IP APM**（Access Policy Manager）は、**F5**の中央集権型アクセス管理プロキシソリューションです。組織のネットワーク、クラウド環境、アプリケーション、およびAPIへのアクセスを管理者が保護できるように設計されています。 ### CVE-2025-53521：DoSからRCEへ 5ヶ月前の欠陥である**CVE-2025-53521**は、当初10月にサービス拒否（DoS）脆弱性として開示されました。しかし、2026年3月に得られた新たな情報を受けて、RCEバグとして再分類されました。 「2026年3月に得られた新たな情報により、当初の脆弱性はRCEに再分類されています。当初の**CVE**の修正は、修正済みバージョンにおけるRCEに対処することが確認されています。この脆弱性が、脆弱な**BIG-IP**バージョンで悪用されていることが判明しました」と、**F5**は最近のアドバイザリ更新で警告しています。 攻撃者はこの脆弱性を悪用して、仮想サーバーにアクセスポリシーが設定されているパッチ未適用の**BIG-IP APM**システムで、権限を必要とせずにリモートコード実行を獲得できます。 ### 露出の規模 オンラインで公開されている脆弱な**BIG-IP APM**インスタンスの正確な数は不明ですが、**Shadowserver**は**BIG-IP APM**のフィンガープリントを持つ17,100以上のIPを追跡していると報告しています。  **Shadowserver**のデータによると、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が連邦機関に対し、脆弱性を活発に悪用されている欠陥リストに追加した後、月曜日の夜までに**BIG-IP APM**システムを保護するよう命じたにもかかわらず、14,000以上の**BIG-IP APM**システムが**CVE-2025-53521**攻撃にさらされたままです。 ### F5の推奨事項と侵害の兆候 **F5**は侵害の兆候（IOC）を公開しており、防御者に対し、悪意のあるアクティビティの兆候がないか**BIG-IP**デバイスのディスク、ログ、およびターミナル履歴を徹底的に確認することを推奨しています。また、侵害後の対策として、影響を受けたシステムをゼロから再構築することに関するガイダンスも提供しています。 「顧客がシステムがいつ侵害されたかを正確に把握していない場合、ユーザー構成セット（UCS）バックアップが侵害後に作成されている可能性があります」と同社は述べています。 「**F5**は、侵害されたシステムからのUCSファイルには永続的なマルウェアが含まれる可能性があるため、顧客が既知の良好なソースから構成を再構築することを強く推奨します。」 ### 繰り返される標的 Fortune 500テクノロジー企業である**F5**は、サイバーセキュリティ、アプリケーションデリバリーネットワーキング（ADN）、およびその他のサービスを、48のFortune 50企業を含む23,000以上の顧客に提供しています。 近年、**BIG-IP**の脆弱性は、国家主導の攻撃者とサイバー犯罪グループの両方によって、以下のような様々な悪意のある目的で一貫して標的とされてきました。 * 企業ネットワークへの侵入 * デバイスの乗っ取り * データワイプマルウェアの展開 * 内部サーバーのマッピング * 機密データの窃盗