● CERT-FR Alertes 📅 31/03/2026 à 02:00

Objet: Vulnérabilité dans F5 BIG-IP Access Policy Manager

Cybersécurité
Illustration
Premier Ministre S.G.D.S.N Agence nationalede la sécurité dessystèmes d'information Paris, le 31 mars 2026 N° CERTFR-2026-ALE-004 Affaire suivie par: CERT-FR Bulletin d'alerte du CERT-FR Objet: Vulnérabilité dans F5 BIG-IP Access Policy Manager Gestion du document Référence CERTFR-2026-ALE-004 Titre Vulnérabilité dans F5 BIG-IP Access Policy Manager Date de la première version31 mars 2026 Date de la dernière version31 mars 2026 Source(s) Bulletin de sécurité F5 K000156741 du 15 octobre 2025 Une gestion de version détaillée se trouve à la fin de ce document. Risque Exécution de code arbitraire à distance Systèmes affectés BIG-IP Access Policy Manager (tous les modules) versions 15.1.x antérieures à 15.1.10.8 BIG-IP Access Policy Manager (tous les modules) versions 16.1.x antérieures à 16.1.6.1 BIG-IP Access Policy Manager (tous les modules) versions 17.1.x antérieures à 17.1.3 BIG-IP Access Policy Manager (tous les modules) versions 17.5.x antérieures à 17.5.1.3 Résumé Le 15 octobre 2025, F5 a publié un avis de sécurité concernant entre autres la vulnérabilité CVE-2025-53521. Celle-ci affecte BIG-IP APM et permet à un attaquant non authentifié d'exécuter du code à distance. Le 29 mars 2026, l'éditeur indique que cette vulnérabilité est exploitée activement. Le CERT-FR recommande d'effectuer une recherche de compromission en s'appuyant sur les éléments documentés par F5 dans son billet de blogue [1] : Indicateurs de compromission dans le système de fichiers : la présence des fichiers /run/bigtlog.pipe ou /run/bigstart.ltm ; des condensats des fichiers /usr/bin/umount et /usr/sbin/httpd différents de ceux des versions légitimes ; des tailles de fichiers ou date de création des fichiers /usr/bin/umount et /usr/sbin/httpd différentes de celles des versions légitimes. Indicateurs de compromission dans les journaux : dans les fichiers /var/log/restjavad-audit..log, vérifier la présence d'entrées de la forme suivante, indiquant une requête iControl via API REST par un utilisateur local : [ForwarderPassThroughWorker{"user":"local/f5hubblelcdadmin","method":"POST","uri":"http://localhost:8100/mgmt/tm/util/bash","status":200,"from":"Unknown"} dans les fichiers /var/log/auditd/audit.log., vérifier la présence d'entrées de la forme suivante, indiquant des tentatives de désactivation du système SELinux lors d'une requête iControl via API REST : msg='avc: received setenforce notice (enforcing=0) exe="/usr/lib/systemd/systemd" sauid=0 hostname=? addr=? terminal=?' dans le fichier /var/log/audit, vérifier la présence d'entrées de la forme suivante : user=f5hubblelcdadmin folder=/Common module=(tmos)# status=[Command OK] cmd_data=run util bash Cette entrée illustre un exemple de commande exécutée et consignée dans le journal d’audit, corrélée à la requête iControl REST mentionnée ci‑dessus. Indicateurs de compromission lors d'exécutions de commandes de contrôle : exécution de sys‑eicheck : il s'agit d'un vérificateur d’intégrité du système, composant logiciel installé sur les appliances BIG‑IP. Il s’appuie sur la fonctionnalité de vérification d’intégrité des paquets RPM et confronte les exécutables présents sur le disque aux empreintes (condensats) stockées dans la base de données RPM. Lorsqu’une différence est constatée, le système alerte les utilisateurs. L'exécution de cette commande peut indiquer des erreurs de conformité, en particulier concernant les fichiers /usr/bin/umount ou /usr/sbin/httpd. exécution de lsof -n : le système est compromis si la présence de /run/bigtlog.pipe est avérée. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité F5 K000156741 du 15 octobre 2025 https://my.f5.com/manage/s/article/K000156741 [1] Marqueur de compromission pour c05d5254 https://my.f5.com/manage/s/article/K000160486 Avis CERT-FR CERTFR-2025-AVI-0886 du 16 octobre 2025 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0886/ Considérations et conseils à suivre si vous soupçonnez une faille de sécurité sur un système BIG-IP https://my.f5.com/manage/s/article/K11438344 Référence CVE CVE-2025-53521 https://www.cve.org/CVERecord?id=CVE-2025-53521 Gestion détaillée du document le 31 mars 2026 Version initiale
← Retour