26.03.2026
1 хв
222
Понад 14 тисяч серверів з F5 BIG-IP APM залишаються доступними для атак із виконанням коду. Вразливість уже активно використовують, і виглядає так, що частина компаній просто не встигла або не захотіла закрити цю діру.
Мова про F5 BIG-IP APM, який часто стоїть прямо на вході в корпоративну мережу. Через нього проходить доступ до внутрішніх сервісів, VPN і різних API. Тобто якщо його ламають, далі вже відкривається багато цікавого.
Сама вразливість CVE-2025-53521 спочатку виглядала як щось не дуже критичне. Але пізніше стало зрозуміло, що через неї можна виконувати код віддалено і без авторизації. Це вже зовсім інший рівень проблеми.
Атака виглядає доволі просто: зловмисник відправляє спеціально сформований запит і отримує контроль над системою. Ніяких логінів чи паролів не потрібно, і саме це робить ситуацію настільки неприємною.
За останніми даними, у мережі видно більше 17 тисяч таких інстансів, і приблизно 14 тисяч із них все ще потенційно вразливі. Це означає, що поверхня атаки досі величезна.
Американська CISA вже додала цю проблему до списку тих, які активно експлуатуються, і прямо каже: закривати потрібно негайно.
Проблема виникає не у всіх випадках, а коли APM налаштований із певними політиками доступу на віртуальних серверах. Але саме така конфігурація досить поширена.
І тут важливий момент: ці системи часто використовують великі компанії. Вони стоять як ворота до внутрішньої інфраструктури. Якщо ці ворота відкриті, то далі вже питання часу, коли туди зайдуть.
Це класична історія з кібербезпекою. Патч є, інформація є, але тисячі систем залишаються незахищеними.
У випадку з F5 це особливо критично, бо компрометація такого вузла часто означає доступ до всієї мережі. Тому тут без варіантів: або швидко оновлюєшся і перевіряєш систему, або рано чи пізно це зробить хтось інший за тебе.
