EUVD-2025-34630 / CVE-2025-53521 Schwachstelle für RCE-Angriffe auf F5 BIG-IP aktiv missbraucht
Eine ehemals DoS-Schwachstelle wurde neu eingestuft: als kritische RCE-Anfälligkeit. Betroffen sind mehrere Versionen von F5s BIG-IP Access Policy Manager. Nutzer sollten dringend patchen.
(Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)
Die CISA hat Ende März 2026 eine Sicherheitslücke in der BIG-IP-Produktfamilie von F5 in ihren Katalog der known exploited vulnerabilities aufgenommen und US-Behörden drei Tage Zeit gegeben, sie zu schließen. Diese kurze Reaktionszeit lässt sich dadurch erklären, dass die Schwachstelle bereits aktiv für Remote-Code-Execution-Angriffe ausgenutzt wird.
:quality(80)/p7i.vogel.de/wcms/e9/48/e948d1d169f29fad295c01735c6f6190/0130348171v2.jpeg "Dall-E / KI-generiert)")
Sicherheitslücke neu eingestuft
Bei der Schwachstelle handelt es sich um EUVD-2025-34630 / CVE-2025-53521 (CVSS-Score 7.5, EPSS-Score* 19.16). Sie betrifft BIG IP Access Policy Manager (APM) und dient der zentralen Zugriffsverwaltung von Proxys, damit Admins den Nutzerzugriff auf Netzwerke, die Cloud, Anwendungen und APIs sichern und verwalten können. Ist eine APM-Zugriffsrichtlinie auf einem virtuellen Server konfiguriert, können bösartige Akteure den TMM‑Prozess (Traffic Management Microkernel), der den Datenverkehr verarbeitet, zum Absturz bringen und Remote Code ausführen.
Die Schwachstelle stammt ursprünglich aus Oktober 2025, F5 hat sein Security Advisory dazu jedoch im März 2026 geupdatet. Zuerst wurde die Sicherheitslücke nämlich als Denial-of-Service kategorisiert und behoben. Aufgrund neuer Informationen wurde sie neu eingestuft: Als Remote Code Execution und F5 zufolge mit einem höheren Risikoscore von 9.8.
Folgende Versionen von BIG-IP APM sind von EUVD-2025-34630 / CVE-2025-53521 betroffen:
- 16.1.0 <16.1.6.1
- 17.5.0 <17.5.1.3
- 15.1.0 <15.1.10.8
- 17.1.0 <17.1.3
Außerdem weist der Hersteller darauf hin, dass die Sicherheitslücke in den anfälligen Versionen ausgenutzt wurde. Neben Informationen zur Behebung der Anfälligkeit hat F5 auch Indicators of Compromise veröffentlicht, die Kunden nutzen können, um festzustellen, ob sie von Angriffen betroffen sind.
:quality(80)/p7i.vogel.de/wcms/4b/cb/4bcb6d92bb8158bc9441217d9cf3e352/0130342511v2.jpeg "© Lila Patel - stock.adobe.com / KI-generiert)")
Tausenden Instanzen möglicherweise angreifbar
Die gemeinnützige Sicherheitsorganisation Shadowserver hat ermittelt, dass über 240.000 BIG-IP-Instanzen aus dem Internet erreichbar sind. Shadowserver gibt jedoch keine Auskunft darüber, wie viele dieser Systeme tatsächlich die verwundbare Konfiguration haben oder bereits gepatcht wurden. In jedem Fall sollten Nutzer ihre Instanzen wenn möglich vom Internet trennen und updaten.
:quality(80)/p7i.vogel.de/wcms/7f/eb/7feb9571c432ebe650d9687284f166bf/0130310687v2.jpeg "Ein nicht authentifizierter Angreifer kann ein präpariertes serialisiertes Javaobjekt an die webbasierte Verwaltungsoberfläche eines verwundbaren Cisco Secure FMC senden, das dort unsicher deserialisiert wird und beliebigen Javacode mit Rootrechten ausführt. (©cendhika - stock.adobe.com)")
* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der entsprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.
(ID:50803258)
