🗓️ Contexte

Source : BleepingComputer — Article publié le 2 avril 2026. Shadowserver, organisation à but non lucratif spécialisée dans la surveillance des menaces Internet, a identifié plus de 14 000 instances F5 BIG-IP APM encore exposées à des attaques exploitant une vulnérabilité critique d’exécution de code à distance.

🔍 Vulnérabilité concernée

  • CVE-2025-53521 : faille vieille de 5 mois, initialement divulguée en octobre 2025 comme une vulnérabilité de déni de service (DoS).
  • Reclassifiée en RCE (Remote Code Execution) le week-end précédant la publication, suite à de nouvelles informations obtenues en mars 2026.
  • Exploitable sans privilèges sur des systèmes BIG-IP APM non patchés disposant de politiques d’accès configurées sur un serveur virtuel.
  • F5 a confirmé que la vulnérabilité est activement exploitée dans les versions vulnérables.

📊 Exposition et impact

  • Shadowserver suit plus de 17 100 IPs avec des empreintes BIG-IP APM exposées sur Internet.
  • Plus de 14 000 instances restent vulnérables aux attaques CVE-2025-53521.
  • La CISA a ajouté cette CVE à sa liste des failles activement exploitées et a ordonné aux agences fédérales américaines de sécuriser leurs systèmes BIG-IP APM avant minuit le lundi.

🏢 Contexte éditeur

F5 est un géant technologique Fortune 500 fournissant des services de cybersécurité et de livraison d’applications à plus de 23 000 clients, dont 48 entreprises du Fortune 50. Les vulnérabilités BIG-IP ont historiquement été ciblées par des groupes étatiques et cybercriminels pour compromettre des réseaux, déployer des malwares destructeurs et exfiltrer des données.

🛡️ Réponse de F5

  • Publication d’indicateurs de compromission (IOCs).
  • Recommandation de vérifier les disques, journaux et historiques de terminaux des équipements BIG-IP.
  • Mise en garde contre l’utilisation des sauvegardes UCS (User Configuration Set) potentiellement créées après compromission, pouvant contenir des malwares persistants.
  • Conseil de reconstruire la configuration depuis une source saine connue.

📌 Type d’article

Article de presse spécialisée à visée informationnelle, signalant une exploitation active en cours d’une vulnérabilité critique reclassifiée, avec données d’exposition et réponse de l’éditeur.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1133 — External Remote Services (Initial Access)

IOC

  • CVEs : CVE-2025-53521

🔗 Source originale : https://www.bleepingcomputer.com/news/security/over-14-000-f5-big-ip-apm-instances-still-exposed-to-rce-attacks/

🖴 Archive : https://web.archive.org/web/20260402083316/https://www.bleepingcomputer.com/news/security/over-14-000-f5-big-ip-apm-instances-still-exposed-to-rce-attacks/