CISA confirme l'exploitation active de la vulnérabilité F5 BIG-IP APM
L'Agence de cybersécurité et de sécurité des infrastructures des États-Unis a ajouté CVE-2025-53521 à son catalogue des vulnérabilités exploitées connues le 28 mars 2026, après avoir confirmé des preuves d'exploitation active ciblant les systèmes F5 BIG-IP Access Policy Manager. La vulnérabilité a un score CVSS v4 critique de 9,3, indiquant un risque sévère pour les organisations concernées.
CVE-2025-53521 représente une faille d'exécution de code à distance qui permet aux attaquants d'exécuter des commandes arbitraires sur les systèmes F5 BIG-IP APM vulnérables sans authentification. La vulnérabilité provient d'une validation incorrecte des entrées dans le composant Access Policy Manager, qui gère l'authentification et l'autorisation pour le contrôle d'accès réseau. Lorsqu'elle est exploitée, les attaquants peuvent contourner les contrôles de sécurité et obtenir un accès complet au système.
F5 BIG-IP Access Policy Manager sert de composant critique de sécurité réseau pour des milliers d'organisations dans le monde, fournissant un accès à distance sécurisé, des services VPN et un contrôle d'accès basé sur l'identité. Le système est généralement situé aux périmètres du réseau, rendant l'exploitation réussie particulièrement dangereuse car elle peut fournir aux attaquants un point d'ancrage dans les réseaux internes. Les organisations utilisant BIG-IP APM pour l'accès des travailleurs à distance ou la connectivité des partenaires font face à un risque accru de cette vulnérabilité.
La Base de données nationale des vulnérabilités confirme les détails techniques de cette faille d'exécution de code à distance, qui affecte plusieurs versions de la pile logicielle BIG-IP. La décision de la CISA d'ajouter cette vulnérabilité au catalogue KEV indique que les agences fédérales ont observé des tentatives d'exploitation active dans la nature, déclenchant des exigences de correction obligatoires pour les systèmes gouvernementaux.
Les chercheurs en sécurité ont d'abord identifié cette vulnérabilité lors d'évaluations de sécurité de routine de la plateforme BIG-IP de F5. La faille permet aux attaquants distants d'envoyer des requêtes spécialement conçues à l'interface APM, contournant les mécanismes d'authentification et exécutant des commandes au niveau du système. Ce vecteur d'attaque ne nécessite pas d'accès préalable au système cible, le rendant particulièrement attractif pour les acteurs malveillants cherchant à compromettre initialement le réseau.
Les déploiements F5 BIG-IP APM font face à un risque d'exposition critique
Les organisations utilisant les versions 17.1.0 à 17.1.1, 16.1.0 à 16.1.4, et 15.1.0 à 15.1.10 de F5 BIG-IP Access Policy Manager sont vulnérables à l'exploitation de CVE-2025-53521. La vulnérabilité affecte à la fois les appareils BIG-IP physiques et virtuels déployés dans des environnements sur site, cloud et hybrides. Les systèmes configurés avec des modules APM activés font face au risque le plus élevé, en particulier ceux exposés à des connexions orientées vers Internet.
Les organisations d'entreprise utilisant BIG-IP APM pour des solutions d'accès à distance, y compris les passerelles VPN, les passerelles web sécurisées et les services de fédération d'identité, doivent prioriser la correction immédiate. Les services financiers, les soins de santé, les agences gouvernementales et les opérateurs d'infrastructures critiques représentent des cibles principales en raison de leurs actifs de données précieux et de leurs schémas d'accès réseau. La capacité d'exploitation à distance de la vulnérabilité signifie que les attaquants peuvent cibler ces systèmes de n'importe où sur Internet sans nécessiter d'accès interne ou de tactiques d'ingénierie sociale.
Les agences fédérales font face à des délais de correction obligatoires sous la Directive opérationnelle contraignante 22-01 de la CISA, qui exige que les systèmes gouvernementaux traitent les vulnérabilités du catalogue KEV dans des délais spécifiés. Les organisations du secteur privé, bien que non légalement liées par ces directives, devraient traiter les ajouts au KEV comme des incidents de sécurité de haute priorité nécessitant une attention immédiate. La combinaison d'un score CVSS critique et d'une exploitation active confirmée crée une tempête parfaite pour une compromission généralisée si elle n'est pas traitée.
Étapes immédiates de correction et de mitigation pour CVE-2025-53521
F5 Networks a publié des correctifs de sécurité traitant CVE-2025-53521 dans les versions logicielles BIG-IP 17.1.2, 16.1.5, et 15.1.11. Les organisations doivent télécharger et installer ces mises à jour immédiatement depuis le portail de support officiel de F5. Le processus de correction nécessite des fenêtres de maintenance système en raison de potentielles interruptions de service, mais la nature critique de cette vulnérabilité justifie des procédures de changement d'urgence.
Avant d'appliquer les correctifs, les administrateurs doivent vérifier leurs versions logicielles BIG-IP actuelles en utilisant la commande 'tmsh show sys version' depuis la console système. Les systèmes exécutant des versions vulnérables doivent être mis à jour en utilisant les procédures de mise à niveau standard de F5, qui incluent des sauvegardes de configuration, des vérifications de santé et une planification de retour en arrière. Les organisations avec des paires BIG-IP à haute disponibilité peuvent effectuer des mises à jour progressives pour minimiser les interruptions de service tout en maintenant la posture de sécurité.
Comme mitigation temporaire pendant que les correctifs sont déployés, les organisations peuvent implémenter des listes de contrôle d'accès pour restreindre l'accès à l'interface APM aux seuls réseaux de gestion autorisés. Désactiver les services APM inutiles et implémenter une segmentation réseau supplémentaire peut réduire l'exposition à la surface d'attaque. Cependant, ces solutions de contournement offrent une protection limitée par rapport à l'application des correctifs de sécurité officiels, et les organisations ne devraient pas s'y fier comme solutions permanentes.
La base de données CVE de MITRE fournit des détails techniques supplémentaires pour les équipes de sécurité développant des règles de détection et des procédures de réponse aux incidents. Les organisations devraient surveiller leurs systèmes BIG-IP pour des schémas d'authentification inhabituels, des processus système inattendus et des connexions réseau qui pourraient indiquer des tentatives d'exploitation réussies. La mise en œuvre d'une journalisation complète et d'une surveillance de sécurité aide à détecter à la fois les exploitations réussies et tentées de cette vulnérabilité.
