14,000+ F5 BIG-IP APM Devices Exposed Online Amid Active RCE Vulnerability Exploits
2026/04/03 CyberSecurityNews — F5 の BIG-IP Access Policy Manager (APM) に存在する深刻なセキュリティ欠陥が実環境で悪用されており、数千のエンタープライズ・ネットワークがリスクに晒されている。この脆弱性 CVE-2025-53521 は、当初は標準的なサービス拒否 (DoS) の問題として分類されていたが、解析が進んだことで深刻なリモート・コード実行 (RCE) 脆弱性へと格上げされ、サイバー・セキュリティ・コミュニティ全体に緊急の警告が発せられている。
CISA においても、この脆弱性は Known Exploited Vulnerabilities (KEV) カタログへ追加され、即時の対応が求められている。The Shadowserver Foundation のテレメトリ・データによると、攻撃の対象領域は非常に広範である。2026年3月31日時点において、世界全体で 17,100 以上の公開状態の F5 BIG-IP APM インスタンスが確認されている。
一部の組織では、修正パッチの適用が進んでいるが、現時点でも 14,000 以上のシステムが依然としてインターネットへ露出した状態にある。Shadowserver のデバイス識別データによると、脆弱なインスタンスの多くが米国と日本に所在している。
BIG-IP APM は、エンタープライズ・アプリケーション・アクセスのセキュア・ゲートウェイとして機能するため、侵害に成功した攻撃者は、セキュリティ境界をバイパスして、内部ネットワークへの直接侵入が可能となる。
パッチ適用の遅延と危険性
このような広範な露出の主因は、この脆弱性の初期分類にあった。F5 が最初に公開した、脆弱性 CVE-2025-53521 に関するドキュメントでは、この問題は DoS としてのみ扱われていた。そのため、多くのエンタープライズ環境において、侵入型の脅威より低い優先度で扱われてしまった。
VulnTracker の研究者が指摘するのは、多くの IT チームにおいて他の深刻なアラート対応が優先され、F5 へのパッチ適用が後回しにされた可能性である。しかし、現時点では、この脆弱性を悪用する攻撃者が、任意のリモートコード実行の手法を確立しており、パッチの未適用が重大なリスクへと変化している。
この RCE を悪用する攻撃者は、F5 アプライアンスを完全に制御し、データ窃取/ランサムウェア展開/長期的なネットワーク侵入など可能にする。
対策
F5 BIG-IP APM を運用する組織は、このインシデントを、最優先でパッチ適用すべき事案として扱う必要がある。具体的には、以下の対応が求められる。
- ベンダー・アップデートの適用:F5 の最新セキュリティ・アドバイザリ (K000156741) を確認し、すべての BIG-IP APM を最新の修正バージョンへ更新する。
- 侵害前提での調査:この脆弱性は実環境で悪用されているため、単なるパッチ適用では不十分である。システム・ログを詳細に確認し、侵害指標 (IoC) の探索を実施する。
- 外部公開資産の監査:ネットワーク監視ツールを使用し、インターネットに公開されているすべての APM インターフェイスを特定し、適切な保護および構成設定を行う。
脆弱性 CVE-2025-53521 は、DoS から RCE へと急速に変貌し、アクティブに悪用されている。この事例が示すのは、現代の脅威環境が、きわめて迅速に変化し得ることである。
この問題の原因は、脆弱性 CVE-2025-53521 に対する初期の分類が、サービス拒否 (DoS) とされていた点にあります。一般的に、DoS 攻撃はシステムの停止が目的であり、情報の窃取を伴うリモート・コード実行 (RCE) よりも優先度が低く設定されがちです。そのため、多くの現場で対応が後回しになってしまいました。しかし、その後に攻撃手法が確立され、実際にはシステムの乗っ取りが可能な RCE の脆弱性であると判明し、深刻なリスクへと繋がってしまいました。ご利用のチームは、ご注意ください。よろしければ、BIG-IP での検索結果も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.