🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou na sexta-feira uma falha crítica de segurança que afeta o F5 BIG-IP Access Policy Manager (APM) ao seu catálogo de vulnerabilidades exploradas conhecidas (KEV), citando evidências de exploração ativa.
A vulnerabilidade em questão é CVE-2025-53521 (pontuação CVSS v4: 9.3), que pode permitir que um ator de ameaça consiga a execução remota de código.
“Quando uma política de acesso BIG-IP APM é configurada em um servidor virtual, tráfego malicioso específico pode levar à execução remota de código (RCE)”, de acordo com uma descrição da falha no CVE.org.
Embora a deficiência tenha sido inicialmente categorizada e corrigida como uma vulnerabilidade de negação de serviço (DoS) com uma pontuação CVSS v4 de 8,7, a F5 disse que foi reclassificada como um caso de RCE à luz de “novas informações obtidas em março de 2026”.
Desde então, a empresa atualizou seu comunicado para confirmar que a vulnerabilidade “foi explorada nas versões vulneráveis do BIG-IP”. Não foram divulgados quaisquer detalhes adicionais sobre quem pode estar por trás da atividade de exploração.
No entanto, a F5 publicou uma série de indicadores que podem ser usados para avaliar se o sistema foi comprometido -
Indicadores relacionados a arquivos -
Presença de /run/bigtlog.pipe e/ou /run/bigstart.ltm.
Incompatibilidade de hashes de arquivo quando comparados com versões válidas conhecidas de /usr/bin/umount e/ou /usr/sbin/httpd.
Incompatibilidade de tamanhos de arquivo ou carimbos de data e hora quando comparados com versões válidas conhecidas de /usr/bin/umount e/ou /usr/sbin/httpd.
Cada versão e EHF podem ter diferentes tamanhos de arquivo e carimbos de data/hora.
Indicadores relacionados ao log -
Uma entrada em "/var/log/restjavad-audit..log" mostrando um usuário local acessando a API REST do iControl a partir do host local.
Uma entrada em "/var/log/auditd/audit.log." mostrando um usuário local acessando a API REST do iControl a partir do localhost para desabilitar o SELinux.
As mensagens de log em "/var/log/audit" mostram os resultados de um comando sendo executado no log de auditoria.
Outros TTPs observados incluem -
Modificações nos componentes subjacentes dos quais o verificador de integridade do sistema, sys-eicheck, depende, resultando em uma falha da ferramenta, especificamente /usr/bin/umount e/ou /usr/sbin/httpd, indicando alterações inesperadas no software do sistema, conforme mencionado acima.
Tráfego HTTP/S do sistema BIG-IP que contém códigos de resposta HTTP 201 e tipo de conteúdo CSS para disfarçar as atividades do invasor.
Alterações nos três arquivos a seguir, embora sua presença por si só não sinalize um problema de segurança -
/var/sam/www/webtop/renderer/apm_css.php3
/var/sam/www/webtop/renderer/full_wt.php3
/var/sam/www/webtop/renderer/webtop_popup_css.php3
“Observamos casos de webshell sendo gravados em disco; no entanto, observou-se que os webshells funcionam apenas na memória, o que significa que os arquivos listados acima podem não ser modificados”, alertou F5.
O problema afeta as seguintes versões -
17.5.0 - 17.5.1 (corrigido na versão 17.5.1.3)
17.1.0 - 17.1.2 (corrigido na versão 17.1.3)
16.1.0 - 16.1.6 (corrigido na versão 16.1.6.1)
15.1.0 - 15.1.10 (corrigido na versão 15.1.10.8)
À luz da exploração ativa, as agências do Poder Executivo Civil Federal (FCEB) tiveram até 30 de março de 2026 para aplicar as correções para proteger suas redes.
“Quando F5 CVE-2025-53521 surgiu pela primeira vez no ano passado como um problema de negação de serviço, não sinalizou imediatamente urgência, e muitos administradores de sistema provavelmente o priorizaram de acordo”, disse o CEO e fundador da watchTowr, Benjamin Harris, em um comunicado compartilhado com The Hacker News.
"Avançando para o grande momento 'caramba' de hoje: a situação mudou significativamente. O que estamos observando agora é a execução remota de código pré-autenticação e evidência de exploração em estado selvagem, com uma listagem CISA KEV para apoiá-la. Esse é um perfil de risco muito diferente do que foi inicialmente comunicado."
A Defused Cyber, em um post X, também confirmou que está vendo “atividade de varredura aguda” para dispositivos F5 BIG-IP vulneráveis após a adição de CVE-2025-53521 ao catálogo KEV.
“Este ator está acessando /mgmt/shared/identified-devices/config/device-info, que é um endpoint F5 BIG-IP REST API usado para recuperar informações em nível de sistema, como nome de host, ID de máquina e endereço MAC base”, disse.
A vulnerabilidade em questão é CVE-2025-53521 (pontuação CVSS v4: 9.3), que pode permitir que um ator de ameaça consiga a execução remota de código.
“Quando uma política de acesso BIG-IP APM é configurada em um servidor virtual, tráfego malicioso específico pode levar à execução remota de código (RCE)”, de acordo com uma descrição da falha no CVE.org.
Embora a deficiência tenha sido inicialmente categorizada e corrigida como uma vulnerabilidade de negação de serviço (DoS) com uma pontuação CVSS v4 de 8,7, a F5 disse que foi reclassificada como um caso de RCE à luz de “novas informações obtidas em março de 2026”.
Desde então, a empresa atualizou seu comunicado para confirmar que a vulnerabilidade “foi explorada nas versões vulneráveis do BIG-IP”. Não foram divulgados quaisquer detalhes adicionais sobre quem pode estar por trás da atividade de exploração.
No entanto, a F5 publicou uma série de indicadores que podem ser usados para avaliar se o sistema foi comprometido -
Indicadores relacionados a arquivos -
Presença de /run/bigtlog.pipe e/ou /run/bigstart.ltm.
Incompatibilidade de hashes de arquivo quando comparados com versões válidas conhecidas de /usr/bin/umount e/ou /usr/sbin/httpd.
Incompatibilidade de tamanhos de arquivo ou carimbos de data e hora quando comparados com versões válidas conhecidas de /usr/bin/umount e/ou /usr/sbin/httpd.
Cada versão e EHF podem ter diferentes tamanhos de arquivo e carimbos de data/hora.
Indicadores relacionados ao log -
Uma entrada em "/var/log/restjavad-audit.
Uma entrada em "/var/log/auditd/audit.log.
As mensagens de log em "/var/log/audit" mostram os resultados de um comando sendo executado no log de auditoria.
Outros TTPs observados incluem -
Modificações nos componentes subjacentes dos quais o verificador de integridade do sistema, sys-eicheck, depende, resultando em uma falha da ferramenta, especificamente /usr/bin/umount e/ou /usr/sbin/httpd, indicando alterações inesperadas no software do sistema, conforme mencionado acima.
Tráfego HTTP/S do sistema BIG-IP que contém códigos de resposta HTTP 201 e tipo de conteúdo CSS para disfarçar as atividades do invasor.
Alterações nos três arquivos a seguir, embora sua presença por si só não sinalize um problema de segurança -
/var/sam/www/webtop/renderer/apm_css.php3
/var/sam/www/webtop/renderer/full_wt.php3
/var/sam/www/webtop/renderer/webtop_popup_css.php3
“Observamos casos de webshell sendo gravados em disco; no entanto, observou-se que os webshells funcionam apenas na memória, o que significa que os arquivos listados acima podem não ser modificados”, alertou F5.
O problema afeta as seguintes versões -
17.5.0 - 17.5.1 (corrigido na versão 17.5.1.3)
17.1.0 - 17.1.2 (corrigido na versão 17.1.3)
16.1.0 - 16.1.6 (corrigido na versão 16.1.6.1)
15.1.0 - 15.1.10 (corrigido na versão 15.1.10.8)
À luz da exploração ativa, as agências do Poder Executivo Civil Federal (FCEB) tiveram até 30 de março de 2026 para aplicar as correções para proteger suas redes.
“Quando F5 CVE-2025-53521 surgiu pela primeira vez no ano passado como um problema de negação de serviço, não sinalizou imediatamente urgência, e muitos administradores de sistema provavelmente o priorizaram de acordo”, disse o CEO e fundador da watchTowr, Benjamin Harris, em um comunicado compartilhado com The Hacker News.
"Avançando para o grande momento 'caramba' de hoje: a situação mudou significativamente. O que estamos observando agora é a execução remota de código pré-autenticação e evidência de exploração em estado selvagem, com uma listagem CISA KEV para apoiá-la. Esse é um perfil de risco muito diferente do que foi inicialmente comunicado."
A Defused Cyber, em um post X, também confirmou que está vendo “atividade de varredura aguda” para dispositivos F5 BIG-IP vulneráveis após a adição de CVE-2025-53521 ao catálogo KEV.
“Este ator está acessando /mgmt/shared/identified-devices/config/device-info, que é um endpoint F5 BIG-IP REST API usado para recuperar informações em nível de sistema, como nome de host, ID de máquina e endereço MAC base”, disse.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #cisa #adiciona #cve202553521 #ao #kev #após #exploração #ativa #do #f5 #bigip #apm
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário