A agência CISA incluiu uma vulnerabilidade grave que afeta o F5 BIG-IP Access Policy Manager (APM) em seu catálogo de falhas ativamente exploradas (KEV), após identificar indícios claros de ataques em andamento. Catalogada como CVE-2025-53521, a falha recebeu pontuação 9,3 no CVSS v4 e possibilita execução remota de código (RCE), considerada uma das ameaças mais críticas em segurança digital.
Originalmente classificada como uma vulnerabilidade de negação de serviço (DoS), a falha foi reavaliada em março de 2026. De acordo com a F5 Networks, tráfego malicioso direcionado a servidores com políticas APM ativas pode permitir que invasores executem código remotamente sem autenticação, elevando significativamente o risco para empresas e instituições afetadas.
A constatação de exploração em ambientes reais levou a CISA a estabelecer um prazo urgente: agências federais dos EUA devem aplicar os patches até 30 de março de 2026. A inclusão da falha no catálogo KEV indica que ela já está sendo usada por criminosos cibernéticos, aumentando a urgência para a mitigação também no setor privado.
Além do alerta, a F5 divulgou indicadores de comprometimento (IoCs) para auxiliar equipes de segurança na identificação de ataques. Entre os sinais estão a presença de arquivos suspeitos como /run/bigtlog.pipe, alterações em binários críticos como /usr/bin/umount e /usr/sbin/httpd, e acessos incomuns à API iControl REST via localhost, típicos de movimentação lateral após a invasão.
Outro ponto preocupante envolve técnicas de camuflagem utilizadas pelos atacantes. Foram observados casos em que o tráfego HTTP do próprio equipamento comprometido retorna códigos 201 com conteúdo CSS, escondendo comunicações maliciosas. Há também indícios de webshells em memória, dificultando a detecção por ferramentas tradicionais baseadas em arquivos.
As versões afetadas incluem várias releases do BIG-IP, da 15.x até a 17.x, com patches já disponibilizados pela fabricante. Especialistas destacam que muitas organizações podem ter subestimado o risco quando a falha ainda era classificada como DoS. Agora, com a confirmação de execução remota de código e exploração ativa, o cenário exige atenção imediata.
O aumento de atividades de varredura na internet reforça o perigo. Hackers estão buscando dispositivos vulneráveis explorando endpoints específicos da API REST do BIG-IP para coletar dados sensíveis como hostname, ID da máquina e endereço MAC, que podem ser usados em ataques mais direcionados.
Diante deste contexto, a recomendação é clara: aplicar os patches de segurança imediatamente, revisar logs e monitorar indicadores de comprometimento. A janela entre descoberta e exploração ativa tem se reduzido drasticamente — e, neste caso, já foi ultrapassada.
