A F5 Networks mudou a gravidade de uma vulnerabilidade em BIG-IP APM: o que inicialmente se considerou uma falha que poderia provocar denegações de serviço agora foi reclassificado como uma vulnerabilidade crítica de execução remota de código (RCE). Esta atualização não é uma simples matiz técnico: significa que atacantes sem privilégios podem executar comandos nos equipamentos afetados e, segundo F5, já há evidências de exploração em ambientes reais para instalar webshells em dispositivos sem adesivo.
BIG-IP APM — Access Policy Manager — atua como um proxy centralizado para controlar e proteger o acesso a redes, nuvens, aplicações e APIs. Sua função o torna um ponto de controle estratégico: comprometer um BIG-IP APM significa, em muitos casos, acessar a porta de entrada de uma organização. O erro em questão aparece no registo como CVE-2025-53521, e F5 salientou que a vulnerabilidade pode ser explorada sem autenticação quando as políticas de acesso estão ativas sobre um servidor virtual.
Que um problema passe de DoS para RCE muda radicalmente a resposta necessária. Enquanto uma recusa de serviço costuma limitar-se a restaurar disponibilidade, uma execução remota implica possível acesso persistente e exfiltração de dados: os atacantes já aproveitaram esta via para implantar webshells, pequenas portas traseiras da web que permitem controlar equipamentos à distância e facilitar movimentos laterais dentro de redes comprometidas.
F5 publicou indicadores de compromisso (IOCs) e recomendações para detectar atividades maliciosas em sistemas BIG-IP; entre as ações urgentes incluem revisar discos, registros e o histórico de terminais em busca de impressões de manipulação. Sua nota revista explica que a correção liberada anteriormente para mitigar o DoS também cobre o RCE nas versões corrigidas, mas sublinha que foram observadas explorações em versões vulneráveis não corrigidas. Você pode consultar esses recursos diretamente nas páginas de F5: IOCs publicados e a atualização da assessoria.
A magnitude do risco fica mais clara se considerarmos a implantação global de BIG-IP: organizações de grande dimensão, fornecedores de serviços e administrações públicas confiam em equipas F5 para gerir acesso crítico. Shadowserver, a organização dedicada ao monitoramento de ameaças na Internet, estima mais de 240.000 instâncias BIG-IP visíveis na Internet, embora não haja uma discriminação pública que indique quantas estão configuradas de forma vulnerável contra CVE-2025-53521.
A gravidade da situação levou à Agência de Segurança Cibernética e Infra-estruturas dos EUA (CISA) a incluir esta vulnerabilidade no seu catálogo de vulnerabilidades exploradas ativamente e a ordenar que as agências federais apliquem atenuações ou adesivos imediatos, com um prazo estabelecido para o fechamento do adesivo. Em seu comunicado, CISA lembra que este tipo de falhas são vetores frequentes para atores maliciosos e dá instruções explícitas sobre a aplicação de mitigações do fornecedor, seguir a orientação BOD 22-01 para serviços na nuvem ou mesmo retirar o produto se não houver mitigações viáveis. Você pode ver a entrada de CISA aqui: Aviso público e a referência no catálogo: CVE-2025-53521 no catálogo. No contexto da Directiva BOD-22-01: BOD 22-01.
Os que trabalhamos em cibersegurança já conhecemos o padrão: ao longo dos últimos anos foram detectados exploits contra BIG-IP usados por grupos estatais e cibercriminais para penetrar redes corporativas, mapear infra-estruturas internas, implantar malware destrutivo, sequestrar dispositivos e exfiltrar documentos sensíveis. A combinação de exposição pública, funções privilegiadas e uma base de clientes extensas torna qualquer falha num alvo atrativo.
O que os responsáveis pela segurança devem agora fazer? A resposta é clara e urgente: aplicar as actualizações oficiais do fornecedor se não estiverem já implementadas; em paralelo, realizar pesquisas activas de compromisso nos sistemas. F5 recomenda, além disso, que as organizações consultem suas políticas internas de manejo de incidentes e forense antes de tentar restaurar equipamentos, para garantir uma coleta de evidências adequada. Rever logs de acesso, arquivos em disco, processos persistentes e o histórico de comandos pode revelar rastros de webshells ou outra atividade maliciosa.
Se houver suspeita de intrusão, isolar o dispositivo afetado e ativar um laboratório forense ou um terceiro especializado são passos prudentes: recuperar um sistema sem ter documentado e preservado evidências pode comprometer pesquisas posteriores e ocultar o alcance real da brecha. Não asumas que um reinício ou uma restauração rápida apaga o problema: Um atacante que colocou portas traseiras pode ter deixado artefatos em múltiplos lugares.
As organizações que não possam corrigir imediatamente devem considerar mitigações temporárias oferecidas pelo fornecedor e avaliar se é possível reduzir temporariamente a exposição de BIG-IP (por exemplo, limitando o acesso administrativo a partir de redes públicas). Não é uma solução ideal, mas pode reduzir a janela de ataque enquanto trabalha numa solução permanente.
Para profissionais que necessitem de referências técnicas e indicadores disponíveis, o registro público da vulnerabilidade em NVD oferece a descrição formal e links relacionados: CVE-2025-53521 em NVD. Os avisos e as IOCs de F5, mencionados acima, são a fonte primária para detecção e resposta.
Em suma, a reclassificação desta falha sublinha duas lições constantes em segurança: a necessidade de sistemas e a importância de monitorização contínua. Uma equipe exposta na Internet e com funções críticas não é um luxo: é um ativo que deve receber prioridade em gestão de riscos. Se a sua organização utilizar BIG-IP APM, actue agora: verifique versões, implantação de sistemas oficiais, procure sinais de compromisso e siga as recomendações de resposta forense antes de restaurar serviços.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...