CVE-2025-53521 : La faille F5 BIG-IP requalifiée en RCE critique, exploitation active confirmée par CISA
Source : SecurityWeek — Date : Mars 2026
🧩 Contexte
La CISA a ajouté CVE-2025-53521 à son catalogue Known Exploited Vulnerabilities (KEV) et appelle les agences fédérales à appliquer le correctif sous trois jours. La vulnérabilité, initialement divulguée en octobre 2025 comme un problème de déni de service (DoS) de sévérité haute, a été requalifiée en RCE critique (CVSS 9.3) la semaine précédant l’alerte. F5 a mis à jour son advisory en conséquence.
🔍 Détails techniques
La faille affecte les systèmes F5 BIG-IP APM ayant une politique d’accès configurée sur un serveur virtuel.
- Type : Remote Code Execution (RCE) non authentifié
- Plan exposé : data plane uniquement — aucune exposition du control plane
- Les systèmes BIG-IP en mode Appliance sont également vulnérables
Versions impactées :
| Branche | Versions vulnérables | Version corrigée |
|---|---|---|
| 17.5.x | 17.5.0 – 17.5.1 | 17.5.1.3 |
| 17.1.x | 17.1.0 – 17.1.2 | 17.1.3 |
| 16.1.x | 16.1.0 – 16.1.6 | 16.1.6.1 |
| 15.1.x | 15.1.0 – 15.1.10 | 15.1.10.8 |
📡 Indicateurs de compromission (IOCs publiés par F5)
- Présence de fichiers parasites sur le système
- Incohérences de hash, taille ou timestamp de fichiers
- Divergences de tailles/timestamps entre releases et Engineering Hotfix (EHF)
- Entrées de log spécifiques et résultats de commandes anormaux
- Trafic HTTP/S sortant avec
Content-Type: CSSet codes de réponse HTTP 201
📌 Nature de l’article
Alerte de sécurité rapportant l’exploitation active confirmée d’une vulnérabilité critique RCE sur F5 BIG-IP APM, avec ajout au KEV CISA et publication d’IOCs par F5.
Threat Actors : non identifiés Secteurs ciblés : tous secteurs (équipement réseau généraliste) CVEs : CVE-2025-53521 Malwares/Outils : aucun nommé IOCs : voir section dédiée ci-dessus (indicateurs comportementaux et fichiers — aucune IP/domaine publié dans l’article)
MITRE ATT&CK :
| ID | Nom | Tactique |
|---|---|---|
| T1190 | Exploit Public-Facing Application | Initial Access |
| T1059 | Command and Scripting Interpreter | Execution |
| T1071.001 | Web Protocols | Command and Control |
🔗 Source originale : https://www.securityweek.com/f5-big-ip-dos-flaw-upgraded-to-critical-rce-now-exploited-in-the-wild/