Trusted DesignCVE-2025-53521 の詳細
CVEの情報
説明:
When a BIG-IP APM access policy is configured on a virtual server, specific malicious traffic can lead to Remote Code Execution (RCE).
Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
CVE更新日: 2025-10-15 14:15:48.377000
CVSSバージョン: 4.0
CVSSスコア: 9.3
KEVの情報
KEV更新日: 2026-03-27
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.414080000
EPSS更新日: 2026-04-16 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: low
Automatable: True
CVE-2025-53521に関する調査結果を以下にまとめます。
1. 脆弱性の概要
CVE-2025-53521は、F5 BIG-IP Access Policy Manager (APM) に存在する認証されていないリモートコード実行 (RCE) の脆弱性です。この脆弱性は、仮想サーバーにAPMアクセスポリシーが設定されている場合に、特別に細工された悪意のあるトラフィックを処理する際に発生します。これにより、攻撃者は認証なしで影響を受けるシステム上で任意のコードを実行できる可能性があります。
1.1 影響 この脆弱性を悪用すると、攻撃者はシステム上で任意のコードを実行し、永続的なバックドアのインストール、データや資格情報の窃取、アプライアンスを通過するトラフィックの傍受および変更、セキュリティ制御の無効化、ログの消去、ロードバランサーの背後にあるネットワークセグメントへの横方向の移動などが可能になります。 F5は、本脆弱性が認証されていないリモートの脅威アクターによってウェブシェルをデプロイするために悪用されていることを確認しています。
1.2 深刻度 当初、この脆弱性は2025年10月にサービス拒否 (DoS) の問題として開示され、CVSSスコアはv3.1で7.5、v4.0で8.7と評価されていました。 しかし、2026年3月に新しい情報が得られたため、RCE脆弱性として再分類され、CVSSv3.1スコアは9.8、CVSSv4.0スコアは9.3の「Critical(緊急)」と評価されています。 CISAは2026年3月27日にこの脆弱性を「既知の悪用されている脆弱性(Known Exploited Vulnerabilities)」カタログに追加しており、活発な悪用が確認されています。
2. 対象となる環境
F5 BIG-IP APMが有効になっているBIG-IPデバイスが影響を受けます。 APMアクセスポリシーが仮想サーバーに設定されている場合にこの脆弱性が存在します。 アプライアンスモードで展開されているBIG-IPシステムも脆弱です。
2.1 影響を受けるOSバージョン BIG-IP APMの以下のバージョンが影響を受けます。
技術サポート終了 (EoTS) のソフトウェアバージョンは評価されていません。
2.2 影響を受ける設定
3. 影響を受けた時の兆候
F5は、CVE-2025-53521の悪用に関連する侵害の痕跡 (IoC) を公開しています。 以下はその例です。
/run/bigtlog.pipeや/run/bigstart.ltmの存在。/usr/bin/umountや/usr/sbin/httpdの既知の正常なバージョンと比較して、ファイルのハッシュ、サイズ、またはタイムスタンプの不一致。/var/log/restjavad-audit.<NUMBER>.logにForwarderPassThroughWorker{"user": "local/f5hubblelcdadmin", "method": "POST", "uri": "http://localhost:8100/mgmt/tm/util/bash", "status":200, "from": "Unknown"}のようなエントリ。これは、localhostからiControl REST APIにアクセスするローカルユーザーを示します。/var/log/auditd/audit.logにmsg='avc: received setenforce notice (enforcing=0) exe="/usr/lib/systemd/systemd"のようなエントリ。これは、SELinuxセキュリティモジュールを無効にしているローカルユーザーを示します。/run/bigstart.ltmの実行。sys-eicheckがumount/httpdで失敗。lsof -nで/run/bigtlog.pipeへのオープンハンドルが表示される。/var/sam/www/webtop/renderer/apm_css.php3/mgmt/shared/identified-devices/config/device-infoREST APIエンドポイントへのリクエスト。4. 推奨対策
4.1 本対策 F5は、この脆弱性に対処するための修正プログラムをリリースしています。 組織は、最新の修正バージョンにアップグレードすることが強く推奨されます。
影響を受けるBIG-IP APMのバージョンと修正バージョンは以下の通りです。 * BIG-IP APM 17.5.x: 17.5.0 – 17.5.1 → 17.5.1.3 に修正 * BIG-IP APM 17.1.x: 17.1.0 – 17.1.2 → 17.1.3 に修正 * BIG-IP APM 16.1.x: 16.1.0 – 16.1.6 → 16.1.6.1 に修正 * BIG-IP APM 15.1.x: 15.1.0 – 15.1.10 → 15.1.10.8 に修正
ベンダーの指示に従って、アップグレードのガイダンスについてはF5セキュリティアドバイザリを参照してください。 パッチ適用後にシステムが侵害されていないか、F5が公開している侵害の痕跡と照合して検証することも重要です。 脆弱なバージョンから修正されたバージョンにアップグレードされたシステムであっても、マルウェアがアップグレード後も存続する可能性があるため、侵害されている可能性があります。
4.2 暫定回避策(緩和策) CVE-2025-53521に対するセキュリティパッチ以外の緩和策や回避策は報告されていません。 ただし、以下の対策は推奨されます。
参照元