L’organisation à but non lucratif Shadowserver a détecté plus de 14 000 instances de BIG-IP APM exposées sur Internet, suite à des attaques tirant parti d’une vulnérabilité critique de type exécution de code à distance (RCE).
Le BIG-IP APM (Access Policy Manager) est une solution de gestion des accès développée par F5, conçue pour aider les administrateurs à sécuriser l’accès aux réseaux, clouds, applications et interfaces de programmation (APIs) de leurs organisations.
Cette vulnérabilité, référencée comme CVE-2025-53521, a été initialement divulguée en octobre comme un problème de déni de service (DoS) avant d’être reclassifiée récemment en tant que bug RCE. Selon un avis d’F5, de nouvelles informations révélées en mars 2026 ont entraîné cette reclassification.
Des attaquants, dépourvus de privilèges particuliers, exploitent ce problème de sécurité pour obtenir une exécution de code à distance sur des systèmes BIG-IP APM non corrigés, dotés de politiques d’accès configurées sur un serveur virtuel.
Bien qu’aucune donnée précise ne soit disponible concernant la part de systèmes vulnérables parmi les instances BIG-IP APM exposées, Shadowserver rapporte qu’il suit actuellement plus de 17 100 adresses IP ayant des empreintes de BIG-IP APM.
Plus de 14 000 systèmes BIG-IP APM restent vulnérables aux attaques basées sur CVE-2025-53521, selon les données de Shadowserver. Cela survient dans un cadre où la Cibersecurity and Infrastructure Security Agency (CISA) des États-Unis a ordonné aux agences fédérales de sécuriser leurs systèmes BIG-IP APM avant minuit lundi, après avoir ajouté cette vulnérabilité à sa liste des défauts activement exploités.
F5 a également mis à disposition des indicateurs de compromission (IOCs) et a conseillé aux défenseurs de vérifier les disques, journaux et historiques des terminaux des appareils BIG-IP à la recherche de signes d’activité malveillante. Des recommandations ont été fournies sur les mesures à prendre en cas de détection de compromission, y compris la reconstruction des systèmes affectés.
La société a souligné qu’en l’absence de dates précises de compromission, des sauvegardes de configuration utilisateur (UCS) peuvent avoir été créées après que l’intrusion a eu lieu. F5 insiste donc sur la nécessité de reconstruire la configuration à partir d’une source fiable, car les fichiers UCS de systèmes compromis peuvent contenir des malwares persistants.
Reconnue parmi les entreprises du Fortune 500, F5 fournit des services de cybersécurité, de livraison d’applications (ADN) et d’autres solutions à plus de 23 000 clients, dont 48 entreprises du Fortune 50.
Ces dernières années, les vulnérabilités BIG-IP ont été ciblées par des groupes de menaces, tant d’États-nations que de cybercriminalité, pour infiltrer des réseaux d’entreprise, détourner des dispositifs, déployer des malwares destructeurs de données, cartographier des serveurs internes et subtiliser des données sensibles.