概要
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は2026年3月27日、F5 BIG-IP Access Policy Manager(APM)に存在する脆弱性CVE-2025-53521をKnown Exploited Vulnerabilities(KEV)カタログに追加した。この脆弱性はCVSSv4スコア9.3の深刻度「Critical」と評価されており、BIG-IP APMのアクセスポリシーが設定された仮想サーバーに対して特定の悪意あるトラフィックを送信することで、認証なしにリモートコード実行(RCE)が可能となる。連邦民間行政機関(FCEB)は3月30日までにパッチを適用することが義務付けられた。
DoSからRCEへの再分類
この脆弱性は当初、CVSSスコア8.7のサービス拒否(DoS)として分類されていた。しかし2026年3月に得られた新たな情報に基づき、リモートコード実行(RCE)へと再分類された。watchTowr CEOのBenjamin Harris氏は「現在我々が観測しているのは認証前のリモートコード実行であり、当初伝えられていたものとはまったく異なるリスクプロファイルだ」と警鐘を鳴らしている。この再分類は、最初の深刻度評価に基づいてパッチ適用を後回しにしていた組織にとって、想定外のリスク上昇を意味する。
影響を受けるバージョンと修正パッチ
影響を受けるBIG-IPのバージョンと対応する修正バージョンは以下の通りである。バージョン17.5.0〜17.5.1は17.5.1.3で、17.1.0〜17.1.2は17.1.3で、16.1.0〜16.1.6は16.1.6.1で、15.1.0〜15.1.10は15.1.10.8でそれぞれ修正されている。F5はアドバイザリを更新し、「脆弱なBIG-IPバージョンにおいて悪用が確認された」ことを公式に認めたが、脅威アクターの特定には至っていない。
侵害の兆候と攻撃の実態
F5は複数の侵害指標(IoC)を公開している。ファイル関連では /run/bigtlog.pipe や /run/bigstart.ltm の存在、/usr/bin/umount や /usr/sbin/httpd のハッシュ不一致が挙げられる。ログ関連ではlocalhostからのiControl REST APIアクセスやSELinux無効化のログエントリが確認されている。また、HTTP 201レスポンスとCSSコンテンツタイプを伴うHTTP/Sトラフィックや、PHP3ファイルの改変も確認されているが、Webシェルはメモリ内のみで動作する場合もあるという。セキュリティ企業Defused Cyberは、攻撃者が /mgmt/shared/identified-devices/config/device-info RESTエンドポイントを標的としたスキャン活動が活発化していることを報告しており、未パッチのシステムへの攻撃が継続していることを示している。