🔍 Contexte

Source : BleepingComputer, publié le 30 mars 2026. F5 Networks a mis à jour son advisory pour reclassifier CVE-2025-53521, initialement catégorisée comme une vulnérabilité de déni de service (DoS), en exécution de code à distance (RCE) de sévérité critique, suite à de nouvelles informations obtenues en mars 2026.

🎯 Vulnérabilité et impact

  • Produit affecté : F5 BIG-IP APM (Access Policy Manager)
  • CVE : CVE-2025-53521
  • Type : Remote Code Execution (RCE) sans authentification préalable
  • Condition d’exploitation : BIG-IP APM avec des politiques d’accès configurées sur un serveur virtuel
  • Impact observé : déploiement de webshells sur les équipements vulnérables non patchés
  • Exposition : Shadowserver recense plus de 240 000 instances BIG-IP exposées sur Internet

⚠️ Exploitation active

F5 confirme que la vulnérabilité est activement exploitée dans la nature. Des indicateurs de compromission (IOCs) ont été publiés par F5. La CISA a ajouté CVE-2025-53521 à sa liste des vulnérabilités activement exploitées et a ordonné aux agences fédérales américaines de sécuriser leurs systèmes BIG-IP APM avant le 30 mars 2026 à minuit.

🏢 Contexte éditeur

F5 est une entreprise Fortune 500 fournissant des services de cybersécurité et de livraison d’applications à plus de 23 000 clients, dont 48 des 50 premières entreprises Fortune 50. Les vulnérabilités BIG-IP ont historiquement été exploitées par des groupes étatiques et cybercriminels pour compromettre des réseaux, déployer des malwares destructeurs et exfiltrer des données.

📋 Type d’article

Alerte de sécurité combinant annonce de reclassification de vulnérabilité et confirmation d’exploitation active, destinée à informer les défenseurs et administrateurs système.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1505.003 — Server Software Component: Web Shell (Persistence)

IOC

  • CVEs : CVE-2025-53521

Malware / Outils

  • webshell (backdoor)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/hackers-now-exploit-critical-f5-big-ip-flaw-in-attacks-patch-now/