CISA Warns of F5 BIG-IP Vulnerability Actively Exploited in Attacks
2026/03/28 CyberSecurityNews — 米国 Cybersecurity and Infrastructure Security Agency (CISA) が公表したのは、F5 BIG-IP システムに影響を及ぼす脆弱性の Known Exploited Vulnerabilities (KEV) カタログへの登録である。この脆弱性 CVE-2025-53521 は、2026年3月27日に正式に登録され、連邦機関に対して 2026年3月30日までの対応期限が設定された。
F5 BIG-IP Access Policy Manager (APM) 内の、脆弱性 CVE-2025-53521 を悪用する攻撃者はリモートコード実行 (RCE) の可能性を得る。エンタープライズおよび政府ネットワークに広く展開されている BIG-IP デバイスの脆弱性であるが、技術的な詳細は限定的であり、認証不要と低複雑度での悪用の可能性が示唆されている。
F5 BIG-IP 脆弱性の悪用
この脆弱性が KEV カタログに追加されたことで、すでに脅威アクターによる悪用が進行していることが判明した。現時点では、ランサムウェアとの関連性は確認されていないが、RCE を可能とする脆弱性であるため、侵害後のデータ侵害やラテラル・ムーブメントでの悪用に注意すべきだ。
トラフィック管理/認証/セキュアなアプリケーション配信などに関与する F5 BIG-IP であるため、侵害に成功した攻撃者が、ネットワーク・インフラに対する高い制御権を奪取する可能性がある。
CISA は Federal Civilian Executive Branch (FCEB) 機関に対し、ベンダー提供の緩和策の即時適用もしくは、回避策が存在しない場合の該当システムの使用停止を指示している。Binding Operational Directive (BOD) 22-01 に基づく CISA からの指示は、KEV カタログに掲載された脆弱性の迅速な修正を義務付けるものである。
すでに F5 は、この問題に対するガイダンスを公開しているため、ユーザー組織は公式手順に従い速やかに対応すべきである。セキュリティ・チームにとって必要なことは、ログの確認および侵害兆候の監視を実施し、不審な管理操作や無許可の設定変更に注意することである。
この件が示すのは、エッジデバイスおよびネットワーク・インフラが継続的に攻撃対象となっている傾向である。
これらのシステムは、企業環境の重要な接点に位置するため、攻撃者による初期侵入および持続的なアクセスの足掛かりとして高い価値を持つ。
前述のとおり、現状では詳細情報が限定されているため、攻撃手法が急速に進化する可能性がある。したがって、ネットワーク分離/厳格なアクセス制御/継続的な監視といった予防措置が重要となる。
F5 BIG-IP を利用する組織は、この脆弱性を高優先度リスクとして扱い、即時対応を実施する必要がある。
訳者後書:F5 BIG-IP システムの Access Policy Manager (APM) に発見された、きわめて深刻な脆弱性 CVE-2025-53521 が CISA KEV に登録されました。このネットワーク境界に位置するデバイスは、ユーザー認証などの重要な役割を担っているため、この脆弱性を突く攻撃者に対してネットワーク内部への侵入を許すことで、インフラ全体の制御権を奪われる可能性が生じます。今回の KEV 登録においては、連邦機関に対して 2026年3月27日〜3月30日という短期間での対応が命じられています。それだけ、深刻な脆弱性なのだと捉える必要があります。よろしければ、2025/10/17 の「F5 がリリースした 44件の脆弱性に対する緊急パッチ:盗まれたソースコードへの懸念を払拭」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.