Hơn 14.000 thiết bị F5 BIG-IP APM có nguy cơ bị tấn công thực thi mã từ xa
Vừa qua, cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung một lỗ hổng CVE mới, tồn tại trong sản phẩm F5 BIG-IP vào danh mục Các Lỗ hổng Đang bị Khai thác (KEV) của mình với cảnh báo rằng lỗ hổng này đang bị khai thác tích cực trên thực tế.
Thông tin chi tiết
Định danh lỗ hổng:
CVE-2025-53521Điểm CVSS (4.0): 9.3
Mức độ nghiêm trọng: CRITICAL - Cực kỳ nghiêm trọng
Mô tả: Lỗi được xác định trong F5 BIG-IP Access Policy Manager (APM), xảy ra khi một chính sách truy cập được thiết lập trên máy chủ ảo (virtual server) có thể cho phép các lưu lượng truy cập độc hại kết nối, từ đó dẫn đến cho phép thực thi mã từ xa (RCE).
Phiên bản bị ảnh hưởng:
| Tên sản phẩm | Nhánh | Phiên bản bị ảnh hưởng |
|---|---|---|
| BIG-IP APM | 17.x | 17.5.0 - 17.5.1 |
| 16.x | 16.1.0 - 16.1.6 |
|
| 15.x | 15.1.0 - 15.1.10 |
F5 BIG-IP là giải pháp Bộ điều khiển phân phối ứng dụng (Application Delivery Controller - ADC) hàng đầu thế giới. Trong hạ tầng công nghệ thông tin, F5 BIG-IP đóng vai trò là "điểm tiếp nhận tập trung" (Gateway) đứng trước các máy chủ dịch vụ, chịu trách nhiệm quản lý, tối ưu hóa và bảo mật toàn bộ lưu lượng truy cập từ người dùng đến ứng dụng.
F5 BIG-IP được sử dụng rộng rãi trong các tổ chức, doanh nghiệp nhờ các ưu điểm cốt lõi:
Cân bằng tải (Load Balancing): Đảm bảo tính sẵn sàng cao bằng cách phân phối thông minh yêu cầu của người dùng đến các máy chủ đang hoạt động ổn định, loại bỏ tình trạng quá tải cục bộ.
Bảo mật ứng dụng (Security): Tích hợp các lớp phòng thủ chuyên sâu (WAF, Firewall, Access Control) để ngăn chặn các hình thức tấn công khai thác lỗ hổng và truy cập trái phép.
Tối ưu hóa hiệu suất: Tăng tốc độ phản hồi của ứng dụng thông qua các kỹ thuật nén dữ liệu và điều phối luồng thông tin hiệu quả.
Do những ưu điểm cốt lõi trên mà F5 BIG-IP thường được đứng tại những vị trí nhạy cảm trong các tổ chức và doanh nghiệp, đóng vai trò là lớp phòng thủ đầu tiên cũng như là chốt chặn cuối cùng trước khi dữ liệu đi vào vùng lõi (backend), khiến nó trở thành mục tiêu giá trị đối với bất kỳ kẻ tấn công nào. Do đó, việc đảm bảo an toàn bảo mật luôn được đặt lên hàng đầu.
Mới đây, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung thêm một lỗ hổng trong sản phẩm F5 BIG-IP vào danh mục Các Lỗ hổng Đang bị Khai thác (KEV) của mình, cảnh báo rằng lỗ hổng này đang bị khai thác tích cực trên thực tế.
Lỗ hổng được xác định là CVE-2025-53521, tồn tại trong giải pháp BIG-IP APM (Access Policy Manager) - một proxy quản lý truy cập tập trung của F5. Giải pháp này được thiết kế nhằm hỗ trợ quản trị viên bảo mật quyền truy cập vào mạng nội bộ, nền tảng đám mây, các ứng dụng và API của tổ chức.
CVE-2025-53521 cho phép kẻ tấn công không có bất kỳ đặc quyền nào hay chưa từng có tài khoản nào trên hệ thống, có thể lợi dụng, khai thác trực tiếp lỗ hổng nhằm đạt được quyền thực thi mã từ xa trên các instance BIG-IP APM chưa được vá lỗi, đặc biệt là các hệ thống có cấu hình chính sách truy cập trên các máy chủ ảo.
Mặc dù lỗ hổng này đã xuất hiện từ cách đây 5 tháng, tuy nhiên Shadowserver - một tổ chức phi lợi nhuận quốc tế chuyên thu thập, giám sát, phân tích và cảnh báo các mối đe doạ trên không gian mạng cho biết, hiện vẫn có hơn 17.000 địa chỉ IP có dấu hiệu sử dụng BIG-IP APM, trong đó khoảng 14.000 instance F5 BIG-IP APM đang nằm trong tình trạng nguy hiểm, nguy cơ cao trở thành mục tiêu tiếp theo bị nhắm tới trong bối cảnh phía F5 đã ghi nhận nhiều cuộc tấn công khai thác lỗ hổng này trên thực tế.
Khuyến nghị & Khắc phục
Các chuyên gia an ninh mạng thuộc F5 đã công bố những dấu hiệu nhận biết xâm nhập (IOCs) rộng rãi trên không gian mạng, người dùng và quản trị viên cần:
Cập nhật bản vá: Cập nhật lên phiên bản mới nhất của BIG-IP APM nhằm khắc phục toàn diện nguy cơ. Danh sách các phiên bản được vá bao gồm: 17.5.1.3 17.1.3 16.1.6.1 15.1.10.8
Kiểm tra hệ thống: Rà soát ổ đĩa, nhật ký hệ thống (logs) và lịch sử thao tác terminal trên các thiết bị BIG-IP để tìm kiếm dấu hiệu hoạt động trái phép. Thiết lập kiểm soát truy cập nghiêm ngặt, triển khai nguyên tắc đặc quyền tối thiểu (least privilege) cho tất cả người dùng và dịch vụ truy cập vào F5 BIG-IP.
Xây dựng kế hoạch xử lý sự cố: Xây dựng kế hoạch, phương án xử lý nếu phát sinh sự cố. Khi phát hiện có dấu hiệu bị xâm nhập, biện pháp an toàn nhất là xây dựng lại hệ thống từ đầu, do đó cần có kế hoạch đầy đủ để đưa trạng thái hệ thống về mức bình thường một cách nhanh nhất.
Cô lập & Sao lưu dữ liệu: F5 nhấn mạnh rằng các bản sao lưu cấu hình (UCS) được tạo sau thời điểm bị tấn công có thể chứa mã độc lâu dài. Do đó, quản trị viên và người dùng chỉ nên khôi phục cấu hình từ các bản sao lưu được xác minh an toàn. Ngoài ra, người dùng và quản trị viên cũng cần cô lập các hệ thống BIG-IP khỏi các phần còn lại của mạng để hạn chế khả năng di chuyển ngang nếu hệ thống bị xâm nhập.
Danh sách IOC
Quản trị viên và người dùng có thể truy cập danh sách IOC do F5 cung cấp thông qua đường dẫn sau:
