F5 BIG-IP 重大漏洞遭攻擊利用，美國CISA 要求聯邦機構限期修補

F5 Networks 近日緊急更新資安公告，將旗下 BIG-IP Access Policy Manager（APM）產品的一項漏洞重新分類為重大遠端程式碼執行（RCE）漏洞，CVSS 評分從原本的 7.5 大幅提升至 9.8。該公司同時警告，此漏洞已遭實際攻擊利用，呼籲用戶立即升級至修補版本。

漏洞嚴重性遭低估，五個月後重新分類

CVE-2025-53521 最初於 2025 年 10 月 15 日揭露並修補，當時被歸類為高嚴重性的阻斷服務(Dos) 漏洞。然而，F5 在更新公告中表示，由於「2026 年 3 月取得的新資訊」，該漏洞已重新分類為 RCE 漏洞。F5 並未說明新資訊的具體內容。

BIG-IP APM 是一套集中式存取管理代理解決方案，可協助管理員保護並管理用戶對企業網路、雲端、應用程式及 API 的存取權限。根據 F5 公告，攻擊者可透過向設定存取原則的虛擬伺服器發送特製惡意流量，在無需身分驗證的情況下觸發此漏洞，進而取得遠端程式碼執行能力。

受影響版本與修補建議

受影響的 BIG-IP APM 版本包括 17.5.0 至 17.5.1、17.1.0 至 17.1.2、16.1.0 至 16.1.6，以及 15.1.0 至 15.1.10。F5 強調，即使 BIG-IP 系統以 Appliance Mode 運行，仍會受到此漏洞影響。F5 強烈建議用戶升級至已修補版本，並依據企業資安政策進行事件處理。

CISA 納入 KEV 目錄，要求限期修補

美國網路安全暨基礎設施安全局（ CISA）已將 CVE-2025-53521 納入已知遭利用漏洞（KEV）目錄，並要求聯邦機構於 3 月 30 日午夜前完成修補。

CISA 警告：「此類漏洞是惡意網路攻擊者常見的攻擊媒介，對聯邦政府體系構成重大風險。」該機構建議組織依據廠商指引實施緩解措施，或在無法取得緩解方案時停止使用該產品。

攻擊活動觀察與入侵指標

資安廠商 Defused Cyber 表示，在 CISA 將該漏洞納入 KEV 目錄後，已觀察到針對 CVE-2025-53521 的掃描活動。攻擊者正在探測 F5 BIG-IP REST API 端點，以擷取主機名稱、機器 ID 及基底 MAC 位址等系統資訊。

Defused Cyber 創辦人暨執行長 Simo Kohonen 表示，該公司的 BIG-IP 蜜罐「幾乎持續遭受攻擊」，近日已觀察到攻擊者採用新的方式來識別 F5 設備。他指出：「我們在過去一週觀察到酬載出現些微變化，這顯示有更多攻擊者正在嘗試繪製 F5 基礎設施的分布圖。」

F5 另外發布了入侵指標（IoC）。在成功部署惡意軟體的案例中，組織可能會在磁碟上偵測到 /run/bigtlog.pipe 和 /run/bigstart.ltm 等檔案，以及 /usr/bin/umount 和 /usr/sbin/httpd 等已知正常檔案出現檔案大小、雜湊值或時間戳記不符的情況。

曝險規模不容忽視

根據 Shadowserver 的追蹤，目前有超過 24 萬台 BIG-IP 設備暴露於網際網路上。F5 產品向來是各類威脅行為者的攻擊目標，去年國家級攻擊者曾入侵 F5 並竊取包括 BIG-IP 平台原始碼在內的敏感資料。

鑑於 CVE-2025-53521 帶來的風險升高，F5 用戶應立即更新軟體，並檢視系統是否有任何遭入侵的跡象。