Bulletins de Sécurité

Vous êtes confronté à un cyber-incident ?

Notre équipe est à votre disposition en 24/7 au 01 85 09 12 35 et par email cert@login-securite.com

Vulnérabilité critique dans F5 BIG-IP APM

Score CVSS :
9.8
Date de publication :
2/4/2026
Date de dernière mise à jour :
2/4/2026
vulnerability icon thumbnail logy cybersecurity

Produits concernés

• BIG-IP APM versions 15.1.0 jusqu’à 15.1.10 incluses
• BIG-IP APM versions 16.1.0 jusqu’à 16.1.6 incluses
• BIG-IP APM versions 17.1.0 jusqu’à 17.1.2 incluses
• BIG-IP APM versions 17.5.0 jusqu’à 17.5.1 incluses

Prérequis

• Une politique d’accès APM qui est configurée sur un serveur virtuel

Risques

• Exécution de code arbitraire à distance
• Accès au réseau interne de l’entreprise

Résumé

Une vulnérabilité critique affectant la solution BIG-IP APMde F5 a été requalifiée en exécution de code, sans besoin d’être authentifié, en mars 2026 suite à de nouvelles informations. Celle-ci avait initialement été classée comme pouvant mener à du déni de service en octobre2025.

Le niveau de criticité initial de cette vulnérabilité est de 9.8(score CVSSv3.1).

La solution BIG‑IP APM (Access Policy Manager) est une solution qui sert de proxy sécurisé pour gérer et contrôler l’accès aux applications et aux ressources d’un réseau d’entreprise.

- CVE-2025-53521 : il s’agit d’une vulnérabilité qui affecte le processus apmd du module BIG-IP APM(Access Policy Manager) lorsqu’une politique d’accès est associée à un serveur virtuel. Elle est due à un dépassement de tampon sur la pile (stack-basedbuffer overflow), déclenché par l’envoi d’un trafic réseau spécialement conçu.Cette faille se situe au niveau du plan de données et est également exploitable lorsque l’équipement fonctionne en mode Appliance. En revanche, le plan de contrôle n’est pas exposé.

L’exploitation de cette vulnérabilité permet à un attaquant distant de provoquer une exécution de code arbitraire sans authentification préalable, ce qui en fait une faille critique pouvant mener à une compromission complète du système affecté.

A l’heure actuelle, la vulnérabilité est exploitée, néanmoins, aucune preuve de concept n'est disponible en sources ouvertes à l’heure actuelle.

Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre.

Solutions

Détection de la compromission :

Si un équipement est compromis, vous pouvez vérifier :

 

Dans les fichiers du disque :

  • La présence de /run/bigtlog.pipe et/ou /run/bigstart.ltm.
  • Incohérence des hashes de fichiers par rapport aux versions légitimes connues de /usr/bin/umount et/ou /usr/sbin/httpd.
  • Incohérence des tailles de fichiers ou des horodatages par rapport aux versions légitimes connues de /usr/bin/umount et/ou /usr/sbin/httpd.
  • Chaque version et chaque EHF peuvent avoir des tailles de fichiers et des horodatages différents.

Dans les journaux d’évènements :

  • /var/log/restjavad-audit.<NUMBER>.log

[ForwarderPassThroughWorker{"user":"local/f5hubblelcdadmin","method":"POST","uri":"<http://localhost:8100/mgmt/tm/util/bash","status":200,"from":"Unknown>"}

Indique qu'un utilisateur local accède à l'API RESTiControl depuis localhost.

  • /var/log/auditd/audit.log.<NUMBER>

msg='avc: received setenforce notice (enforcing=0) exe="/usr/lib/systemd/systemd" sauid=0 hostname=? addr=? terminal=?'

Indique qu’un utilisateur local accède à l'API RESTd'iControl depuis localhost pour désactiver SELinux.

  • /var/log/audit

user=f5hubblelcdadmin folder=/Common module=(tmos)# status=[Command OK] cmd_data=run util bash <VARIABLE_COMMAND>lang=EN-US style='mso-ansi-language:EN-US'>

Indique l'écriture de données encodées en Base64 dans unfichier et l'exécution de /run/bigstart.ltm . Cette entrée illustrel'exécution d'une commande dans le journal d'audit, en lien avec la requêteREST iControl mentionnée précédemment.

Il est possible de vérifier la présence de fichiersindésirables en téléchargeant et en exécutant l’outil “F5 System Scanner”depuis l'invite de commande bash de BIG-IP.

 

Remédiation :

Mettre à jour la solution vers les versions suivantes :

  • BIG-IP APM versions 15.1.10.8 et supérieures
  • BIG-IP APM versions 16.1.6.1 et supérieures
  • BIG-IP APM versions 17.1.3 et supérieures
  • BIG-IP APM versions 17.5.1.3 et supérieures

Le détail est disponible dans les liens en références.

Références

• https://cyberveille.esante.gouv.fr/alertes/f5-cve-2025-53521-2026-04-01
• https://my.f5.com/manage/s/article/K000156741
• https://arcticwolf.com/resources/blog-uk/cve-2025-53521-f5-big-ip-apm-vulnerability-reclassified-as-unauthenticated-rce-and-exploited-in-the-wild/
• https://my.f5.com/manage/s/article/K000160486

Restez informés des dernières menaces !

Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

Merci pour votre inscription !
Oups ! Une erreur est survenue lors de l'envoi du formulaire.
Nos offresNos ExpertisesLe groupe Constellation
Notre équipeNous rejoindreBlog
Urgences CyberInformations SOCCommander un Test d'Intrusion
Conditions Générales de VentesMentions légalesNous contacter
©2024 Login Sécurité | Mentions légales et Politique de confidentialité