CVE-2025-53521

F5 BIG-IP

ВЕРОЯТНОСТЬ 0.1%
Дата обнаружения

2026-03-27

Официальное описание

F5 BIG-IP AMP contains an unspecified vulnerability that could allow a threat actor to achieve remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-53521 представляет собой критическую уязвимость в компоненте F5 BIG-IP Access Policy Manager (APM). Проблема заключается в недостаточной проверке входных данных в определенных механизмах обработки трафика, что позволяет удаленному неаутентифицированному злоумышленнику выполнить произвольный код (RCE) в контексте системы. Уязвимость затрагивает плоскость управления (Control Plane) и, в некоторых конфигурациях, плоскость передачи данных (Data Plane), что создает риск полной компрометации устройства и перехвата пользовательских сессий.

Как исправить

Основным способом устранения уязвимости является обновление программного обеспечения BIG-IP до актуальной версии, в которой исправлена данная ошибка.

  1. Проверьте текущую версию системы:
tmsh show sys version

  1. Загрузите исправленный образ (ISO) с портала F5 Downloads.

  2. Загрузите образ на устройство в директорию /shared/images/.

  3. Установите обновление на целевой раздел (например, HD1.2):

tmsh install sys software image <название_образа.iso> volume HD1.2
  1. Отслеживайте статус установки:
watch tmsh show sys software status
  1. После завершения установки переключитесь на новый раздел и перезагрузите устройство:
tmsh reboot volume HD1.2

Временные меры

Если немедленное обновление невозможно, необходимо применить меры по снижению рисков (Mitigation), чтобы ограничить вектор атаки.

  1. Ограничьте доступ к интерфейсу управления (Management Interface) только для доверенных IP-адресов с помощью встроенного пакетного фильтра:
tmsh modify sys snmp allowed-addresses add { <IP_адрес_администратора> }
  1. Настройте ограничение доступа к SSH:
tmsh modify sys sshd allow add { <IP_адрес_администратора> }

  1. Если уязвимость затрагивает специфические профили виртуальных серверов, временно отключите неиспользуемые функции APM или примените iRules для фильтрации подозрительных последовательностей в HTTP-заголовках.

  2. Включите усиленное логирование для обнаружения попыток эксплуатации:

tmsh modify sys db log.accesscontrol.level value debug
  1. Заблокируйте доступ к порталу самообслуживания APM из внешних сетей, если это не критично для бизнес-процессов, через политики безопасности (L7 Security Policies).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей