Clientes da **F5** enfrentam uma situação crítica devido a uma vulnerabilidade de execução remota de código (RCE) no **BIG-IP APM** que está sendo ativamente explorada. A organização sem fins lucrativos de monitoramento de ameaças da Internet, **Shadowserver**, identificou mais de 14.000 instâncias de **BIG-IP APM** expostas online em meio a ataques contínuos visando a **CVE-2025-53521**. ### O que é o BIG-IP APM? O **BIG-IP APM** (Access Policy Manager) é a solução de proxy de gerenciamento de acesso centralizado da **F5**. Ele foi projetado para ajudar os administradores a proteger o acesso às redes, ambientes de nuvem, aplicativos e APIs de suas organizações. ### CVE-2025-53521: De DoS a RCE A falha de cinco meses, rastreada como **CVE-2025-53521**, foi inicialmente divulgada em outubro como uma vulnerabilidade de negação de serviço (DoS). No entanto, foi reclassificada como um bug de RCE após novas informações obtidas em março de 2026. "Devido a novas informações obtidas em março de 2026, a vulnerabilidade original está sendo recategorizada para RCE. A correção original da **CVE** foi validada para abordar a RCE nas versões corrigidas. Soubemos que esta vulnerabilidade foi explorada nas versões vulneráveis do **BIG-IP**", alertou a **F5** em uma atualização recente de seu boletim informativo. Atacantes podem alavancar essa vulnerabilidade para obter execução remota de código em sistemas **BIG-IP APM** não corrigidos com políticas de acesso configuradas em um servidor virtual, sem a necessidade de privilégios. ### Escala de Exposição Embora o número exato de instâncias de **BIG-IP APM** vulneráveis expostas online permaneça desconhecido, a **Shadowserver** relata o rastreamento de mais de 17.100 IPs com impressões digitais de **BIG-IP APM**.  De acordo com os dados da **Shadowserver**, mais de 14.000 sistemas **BIG-IP APM** ainda estão expostos a ataques **CVE-2025-53521**. Isso ocorre apesar da **Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA)** ter ordenado que as agências federais protegessem seus sistemas **BIG-IP APM** até a noite de segunda-feira, após a adição da vulnerabilidade à sua lista de falhas ativamente exploradas. ### Recomendações da F5 e Indicadores de Comprometimento A **F5** publicou indicadores de comprometimento (IOCs) e aconselha os defensores a verificar minuciosamente os discos, logs e histórico do terminal dos dispositivos **BIG-IP** em busca de sinais de atividade maliciosa. Eles também fornecem orientações sobre medidas pós-comprometimento, incluindo a reconstrução de sistemas afetados do zero. "Se os clientes não souberem exatamente quando o sistema foi comprometido, backups do conjunto de configuração do usuário (UCS) podem ter sido criados após o comprometimento ocorrer", afirmou a empresa. "A **F5** recomenda fortemente que os clientes reconstruam a configuração a partir de uma fonte conhecida e confiável, pois os arquivos UCS de sistemas comprometidos podem conter malware persistente." ### Um Alvo Recorrente A **F5**, uma empresa de tecnologia Fortune 500, fornece serviços de segurança cibernética, rede de entrega de aplicativos (ADN) e outros para mais de 23.000 clientes, incluindo 48 empresas Fortune 50. Nos últimos anos, as vulnerabilidades do **BIG-IP** têm sido consistentemente visadas por atores estatais e grupos de cibercrime para diversos fins maliciosos, incluindo: * Invasão de redes corporativas * Sequestro de dispositivos * Implantação de malware que apaga dados * Mapeamento de servidores internos * Roubo de dados sensíveis