概要

サイバーセキュリティ研究者は、F5 BIG-IP Access Policy Manager (APM) デバイスに関連する大規模な攻撃面を特定しました。最近公開された脆弱性の深刻度が重大にアップグレードされ、現在17,100以上のインスタンスがインターネット上で露出しています。

CVE-2025-53521の悪用

この脆弱性はCVE-2025-53521として追跡されており、最初に研究者がDoS（サービス拒否）フラウと分類しました。しかし、F5は最近セキュリティアドバイザリーを更新し、脅威アクターがこの脆弱性を利用してリモートコード実行（RCE）を達成できると確認しました。

影響範囲

F5 BIG-IP APMは、大規模な企業でVPN接続の管理やセキュアウェブゲートウェイ、ゼロトラストネットワークアクセスポリシーの実装に広く使用されています。これらのデバイスがネットワークのエッジに位置しているため、攻撃者は直接内部コーポレート環境への高権限ゲートウェイを獲得できます。

CISAによる警告

この脆弱性が実際に悪用されているという具体的な証拠に基づき、米国のサイバーセキュリティとインフラセキュリティ庁（CISA）はCVE-2025-53521を知られている脆弱性のカタログに追加しました。これにより連邦機関には緊急なパッチ適用が求められ、民間組織全体に対して高レベルの警戒が必要とされています。

脅威インテリジェンス

脅威情報組織Shadowserverは最近、この脆弱性の世界規模でのリスクを測定するための人口評価を行いました。インターネット上の指紋検出により、3月31日時点で全世界で17,100以上の露出したF5 BIG-IP APM IPアドレスが確認されました。

必要なセキュリティ対策

• F5の公式アドバイザリー（K000156741）で提供されている最新のセキュリティパッチを適用する。
• システムログを確認し、不審なアクセスやファイル作成、異常な管理コマンドがないか調査する。
• 厳格なファイアウォールルールを使用して、公開インターネットからの管理インターフェースへのアクセスを制限する。
• F5デバイスから発生する不審なアウトバウンド接続を監視する。
• すべての管理アカウントに多要素認証（MFA）を導入し、資格情報盗難に対する追加の防御層を提供する。

元記事: https://gbhackers.com/14000-f5-big-ip-apm-instances-exposed-online/