F5 Networks a modifié la gravité d'une vulnérabilité dans BIG-IP APM : ce qui était initialement considéré comme un échec pouvant conduire à des dénis de service a maintenant été reclassé comme une vulnérabilité critique de l'exécution de code à distance (ERC). Cette mise à jour n'est pas seulement une nuance technique : elle signifie que les attaquants non privilégiés peuvent exécuter des commandes sur les équipes affectées et, selon F5, il y a déjà des preuves d'exploitation dans des environnements réels pour installer des webshells sur des périphériques non reliés.
BIG-IP APM - Access Policy Manager - agit comme mandataire centralisé pour contrôler et protéger l'accès aux réseaux, aux nuages, aux applications et aux API. Sa fonction en fait un point de contrôle stratégique : compromettre un APM BIG-IP signifie, dans de nombreux cas, accéder à la porte d'entrée d'une organisation. La décision en question figure au registre en tant que CVE-2025-53521, et F5 a souligné que la vulnérabilité peut être exploitée sans authentification lorsque les politiques d'accès sont actives sur un serveur virtuel.
Un problème qui va du DoS aux CER change radicalement la réponse requise. Bien qu'un déni de service soit souvent limité à la restauration de la disponibilité, une exécution à distance implique un éventuel accès persistant et l'exfiltration des données: les attaquants ont déjà profité de ce chemin pour déployer des webshells, de petites portes de back-web qui permettent le contrôle de l'équipement à distance et facilitent les mouvements latéraux à l'intérieur de réseaux compromis.
F5 a publié des indicateurs d'engagement (COI) et des recommandations pour détecter les activités malveillantes dans les systèmes BIG-IP; les mesures urgentes comprennent l'examen des disques, des enregistrements et de l'historique des terminaux pour le traitement des impressions. Sa note révisée explique que la correction précédemment publiée pour atténuer le DoS couvre également les URCE dans les versions corrigées, mais souligne que les exploitations ont été observées dans les versions vulnérables non garées. Vous pouvez consulter ces ressources directement sur les pages F5 : COI publiés et mise à jour de l'avis.
L'ampleur du risque est plus claire si nous considérons le déploiement global de BIG-IP : les grandes organisations, les fournisseurs de services et les administrations publiques comptent sur les équipes F5 pour gérer l'accès critique. Shadowserver, l'organisation dédiée à la surveillance des menaces sur Internet, estime plus que 240 000 instances BIG-IP visibles sur Internet Bien qu'il n'y ait pas de ventilation publique indiquant le nombre de personnes vulnérables contre CVE-2025-53521.
La gravité de la situation a amené la United States Agency for Cyber Security and Infrastructure (CISA) à inclure cette vulnérabilité dans son catalogue de vulnérabilités activement exploitées et à ordonner aux organismes fédéraux d'appliquer immédiatement des mesures d'atténuation ou des correctifs, avec un délai fixé pour la fermeture du correctif. Dans sa déclaration, la CISA rappelle que ces types de défaillances sont des vecteurs fréquents pour les acteurs malveillants et donne des instructions explicites sur l'application de l'atténuation des fournisseurs, en suivant les directives BOD 22-01 pour les services en nuage ou même en supprimant le produit s'il n'y a pas d'atténuation viable. Vous pouvez voir l'entrée CISA ici: avis public et la référence dans le catalogue: CVE-2025-53521 dans le catalogue. Pour le contexte de la directive BOD-22-01: BOD 22-01.
Ceux qui travaillent dans la cybersécurité connaissent déjà le modèle: au cours des dernières années, des exploits ont été détectés contre BIG-IP utilisé par les groupes étatiques et cybercriminels pour pénétrer les réseaux d'entreprises, cartographier l'infrastructure interne, déployer des logiciels malveillants destructeurs, des dispositifs d'enlèvement et des documents sensibles à l'exfiltre. La combinaison de l'exposition du public, des fonctions privilégiées et d'une vaste clientèle fait de tout échec une cible attrayante.
Que devraient faire les agents de sécurité en ce moment? La réponse est claire et urgente: appliquer les mises à jour officielles du fournisseur si elles ne sont pas déjà déployées; en parallèle, effectuer des recherches actives d'engagement système. F5 recommande également aux organisations de consulter leurs politiques internes de gestion des incidents et de criminalistique avant d'essayer de restaurer le matériel pour assurer la collecte des preuves. Examiner les journaux d'accès, les fichiers disque, les processus persistants et l'historique des commandes peut révéler des traces de webshells ou d'autres activités malveillantes.
S'il y a suspicion d'intrusion, l'isolement de l'appareil affecté et l'activation d'un laboratoire médico-légal ou d'un tiers spécialisé sont des étapes prudentes : la récupération d'un système sans avoir de preuves documentées et conservées peut compromettre d'autres enquêtes et masquer la portée réelle de l'écart. Ne présumez pas qu'un redémarrage ou une restauration rapide efface le problème : Un attaquant qui a placé des portes arrière peut avoir laissé des artefacts dans plusieurs endroits.
Les organismes qui ne peuvent pas se garer immédiatement devraient tenir compte des mesures d'atténuation temporaires offertes par le fournisseur et évaluer s'il est possible de réduire temporairement l'exposition au PIG (p. ex. en limitant l'accès administratif des réseaux publics). Ce n'est pas une solution idéale, mais elle peut réduire la fenêtre d'attaque tout en travaillant sur une solution permanente.
Pour les professionnels qui ont besoin de références techniques et d'indicateurs disponibles, le registre public de la vulnérabilité en NVD fournit la description officielle et les liens connexes: CVE-2025-53521 en NVD. Les avis F5 et les CIO mentionnés ci-dessus sont la principale source de détection et de réponse.
En bref, la reclassification de cette défaillance met en évidence deux leçons constantes en matière de sécurité : la nécessité de patchs et l'importance d'une surveillance continue. Une équipe exposée sur Internet et dotée de fonctions critiques n'est pas un luxe : c'est un atout qui doit être prioritaire dans la gestion des risques. Si votre organisation utilise BIG-IP APM, agissez dès maintenant : vérifiez les versions, déployez des correctifs officiels, recherchez des signaux d'engagement et suivez les recommandations d'intervention médico-légale avant de restaurer les services.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...