En kritisk säkerhetsbrist i F5 BIG-IP APM utnyttjas aktivt av angripare just nu. Bristen, som tidigare klassades som ett enkelt driftstopp-problem, har omklassificerats till fjärrkodexekvering med CVSS-betyg 9.3 - det högsta möjliga hotnivat. Om du använder BIG-IP APM måste du agera omedelbart.

Vad är CVE-2025-53521?

CVE-2025-53521 är en säkerhetsbrist i F5 BIG-IP Access Policy Manager (APM) - den lösning som manga stora organisationer använder för att styra hur anställda loggar in på interna nätverk och applikationer.

Bristen tillåter en oautentiserad angripare att skicka skadlig trafik mot en server och ta fullständig kontroll över den, så kallad Remote Code Execution (RCE). Det innebär att en hackare från var som helst i världen kan köra egna kommandon på din infrastruktur - utan att behova ett enda lösenord.

Ursprungligen klassades problemet som ett Denial-of-Service-fel (DoS), det vill saga en attack som bara kraschar ett system. Men i mars 2026 fick F5 ny införmation som visade att bristen i sjalva verket är ett minneshanteringsfel som ger angripare möjlighet att plantera skadlig kod direkt på enheten. CVSS-betyget höjdes därför till 9.3.

Aktiv exploatering - hackare är redan inne

F5 bekräftade i sin uppdaterade säkerhetsbulletin att bristen aktivt utnyttjas mot opatchade system. Angripare installerar så kallade webshells - bakdorrar som ger dem bestande åtkomst till systemet även efter att en initial attack är genomförd.

Shadowserver, en ideell organisation som övervakar internethot, spårar över 240 000 BIG-IP-instanser som är exponerade på internet. Det är oklart hur manga av dessa som har en sårbar konfiguration.

CISA (USA:s cybersäkerhetsmyndighet) lade till CVE-2025-53521 i sin lista över aktivt utnyttjade sårbarheter den 27 mars 2026 och beordrade federala myndigheter att säkra sina system senast den 30 mars.

Vilka system är sårbara?

Bristen paverkar BIG-IP APM i versionsgrenarna 17.x, 16.x och 15.x - men bara om en åtkomstpolicy är konfigurerad på en virtuell server. Nyare produkter som BIG-IP Next, NGINX och F5 AI Gateway pavekas inte.

F5 har publicerat en lista över Indicators of Compromise (IOC) för att hjälpa organisationer att avgora om de redan blivit komprometterade. Tecken att leta efter inkluderar:

- Ovanliga filer som /run/bigtlog.pipe på systemet

- Andrade digitala signaturer på standardfiler som /usr/bin/umount

- Misslyckanden i integritetsverktyget sys-eicheck

- Loggar som visar att lokalt anvandarkonto f5hubblelcdadmin försöker inaktivera säkerhetsmekanismer

Vad ska du göra nu?

F5 rekommenderar att omedelbart installera de senaste officiella patcharna. Om du inte vet när ett system eventuellt komprometterades rekommenderar F5 en fullständig återinstallation från grunden, eftersom backupfiler (UCS-filer) från attackerade system kan innehålla dold skadlig kod.

Angripare maskerar sin trafik som vanliga CSS-filer för att undvika upptackt - vilket gör det extra viktigt att granska loggar noggrant och inte enbart lita på autömmatiserade verktyg.

Experternas syn

David Brumley, Chief AI and Science Officer på Bugcrowd, sammanfattar laget: "Detta är ett allhands-on-deck-ögonblick för F5-kunder. Vad som ser ut som ett DoS-fel är i sjalva verket ett fullständigt systemovervagande, och angripare använder det redan."

John Bambenek, President på Bambenek Consulting, tillagger att DoS-komponenten var kand sedan tidigare, men att omklassificeringen till RCE är det som gör detta till en akut situation.

Behover du hjälp med din säkerhetsstrategi?

BlckIT hjälper svenska företag att navigera komplexa IT-säkerhetsutmaningar - från sårbarhetshantering till incidentrespons. Kontakta oss idag för att se hur vi kan stärka din organisations säkerhetspostur.