F5 BIG-IP APM 关键 RCE 漏洞分析与紧急修复指南

2026 年 3 月，F5 Networks 发布紧急安全公告，将 BIG-IP Access Policy Manager（APM）的一个已知漏洞从拒绝服务（DoS）重新分类为关键级别的远程代码执行（RCE）漏洞。此漏洞正被攻击者积极利用，用于在未修补的设备上部署 Webshell，获取对企业网络的持久化访问权限。美国网络安全和基础设施安全局（CISA）已将该漏洞列入已知利用漏洞（KEV）目录，并要求联邦机构在 2026 年 3 月 30 日前完成修补。对于部署了 F5 BIG-IP 的企业而言，这是一场不容忽视的安全危机。

漏洞技术根因分析

CVE-2025-53521 最初于 2025 年被发现时，F5 将其分类为拒绝服务漏洞。然而，随着威胁情报的不断积累，F5 于 2026 年 3 月更新了漏洞分类，确认该漏洞实际上允许未经身份验证的攻击者在特定配置下执行任意代码。漏洞的核心问题在于 BIG-IP APM 模块的访问策略处理机制存在缺陷，当虚拟服务器上配置了访问策略时，攻击者可以通过特制的请求触发漏洞，无需持有任何有效凭据即可获得系统控制权。

从技术层面分析，该漏洞的严重性源于以下几个关键因素。首先，攻击无需任何前置权限，这与传统的需要管理员凭证的漏洞形成鲜明对比。其次，受影响组件是 BIG-IP APM，即面向用户的访问管理代理，直接暴露在互联网或企业内部网络中。第三，攻击成功后攻击者可直接在系统上执行命令，部署恶意 Webshell，实现对目标设备的持久化控制。这种组合使得漏洞的利用门槛极低，影响范围极广。

根据 Shadowserver 的监控数据，目前有超过 24 万台 F5 BIG-IP 实例暴露在互联网之上。尽管并非所有实例都启用了 APM 模块或配置了易受攻击的访问策略，但这个数字足以说明企业面临的潜在风险规模。BIG-IP 作为企业级负载均衡和应用交付控制器的核心设备，通常位于网络入口位置，承担着流量分发、SSL 终止、访问控制等关键职责。一旦被攻破，攻击者可以横向移动到内部网络，访问后端应用服务器和数据库，造成数据泄露或业务中断。

攻击链还原与在野利用

安全研究人员和 F5 官方披露的攻击活动显示，威胁行为者已经掌握了完整的漏洞利用工具，并正在对互联网上的暴露目标发起扫描和攻击。典型的攻击链始于目标识别阶段，攻击者使用自动化扫描工具探测配置了 APM 的 BIG-IP 设备，识别出存在漏洞的实例后，发送特制的 HTTP 请求触发代码执行。成功利用后，攻击者会在受影响的设备上部署 Webshell，比如常见的 Chinese Chopper 类别工具或定制化的后门程序。

F5 官方发布的妥协指标（IOC）文档详细描述了攻击者可能留下的痕迹。安全团队应当检查以下关键位置：系统磁盘上是否存在异常的可执行文件或脚本，特别是 /var/tmp、/tmp 等临时目录；系统日志中是否出现异常的登录尝试或可疑的命令执行记录；终端历史记录（bash history 或其他 shell 的历史文件）中是否存在非授权用户输入的命令。此外，攻击者可能会修改系统配置以实现持久化，包括创建额外的管理员账户、修改启动脚本或安装自定义的 iRule 规则。

值得注意的是，近年来 F5 BIG-IP 设备一直是高级持续性威胁（APT）组织和网络犯罪团伙的重点目标。此前的多起安全事件中，攻击者利用 BIG-IP 漏洞实现初始访问、网络侦察、数据窃取甚至部署破坏性恶意软件。CVE-2025-53521 的出现进一步强化了这一攻击向量，因为其无认证利用的特性使得攻击者可以在最短的时间内获得目标网络的立足点。

紧急修复方案与缓解措施

面对紧迫的威胁，企业应当立即采取行动进行漏洞修补和风险缓解。F5 官方已经发布了针对各版本 BIG-IP 的修复补丁，受影响的版本系列包括 17.x、16.x 和 15.x。具体的修复版本号需要根据企业当前运行的版本进行对照，但总体原则是升级到各版本系列的最新安全更新版本。在应用补丁之前，强烈建议在测试环境中进行充分验证，确保升级过程不会影响现有业务配置。

如果由于业务连续性原因无法立即进行版本升级，企业应当实施多层缓解策略。首选方案是通过网络层限制对 APM 管理接口的访问，仅允许来自受信任 IP 地址的流量。如果 BIG-IP 设备部署在互联网边缘，应当立即检查是否存在暴露的 APM 端口（默认情况下为 443 和 8443），并考虑将管理界面迁移到内部网络或通过 VPN 访问。对于必须对外提供服务的场景，应当启用额外的身份验证机制，比如强制要求客户端证书或配置多因素身份认证。

在检测和响应方面，安全运营团队应当立即开展针对 CVE-2025-53521 的专项排查。排查范围包括：审计所有配置了访问策略的虚拟服务器，验证是否存在异常的访问日志；检查系统中是否存在可疑的网络连接，特别是连接到已知恶意 IP 地址的出站流量；使用 F5 官方提供的 IOC 脚本对受保护资产进行自动化扫描。如果在排查过程中发现任何妥协迹象，应当立即启动应急响应流程，隔离受影响的设备并进行深入取证分析。

企业安全响应建议

考虑到该漏洞的严重性和正在被积极利用的事实，企业应当将此次修补工作提升到最高优先级。建议的安全响应流程包括以下几个阶段。第一阶段为资产清点，确认所有 BIG-IP 设备的版本、配置和暴露状态，特别识别启用了 APM 模块且配置了访问策略的实例。第二阶段为风险评估，根据业务 criticality 和网络暴露程度对设备进行优先级排序，优先修补面向互联网的高风险目标。第三阶段为补丁实施，在维护窗口内完成版本升级或缓解措施部署。第四阶段为验证确认，确保补丁成功应用且业务功能正常，同时再次检查是否存在妥协迹象。

对于已经部署了安全信息和事件管理（SIEM）系统的企业，可以利用 F5 提供的日志格式文档构建针对性的检测规则。关键的检测点包括：来自单一源 IP 的异常高频请求可能表明正在进行漏洞扫描；非工作时间的可疑管理活动；以及任何试图修改系统配置或安装未知软件的操作。同时，建议与威胁情报源保持同步，及时获取最新的 IOC 和攻击手法信息，以便在攻击发生之前进行防御优化。

从长期安全建设的角度来看，此次事件再次提醒企业需要对网络边界设备给予额外的安全关注。F5 BIG-IP 作为核心的应用交付平台，往往承载着大量的敏感流量和关键业务。对这类设备的安全配置进行定期审计、实施最小权限原则、保持固件和补丁的及时更新，是降低攻击面、防范类似威胁的根本措施。

资料来源

本文参考了 BleepingComputer 关于 F5 BIG-IP 漏洞在野利用的报道、F5 官方安全公告（K000156741）以及 CISA 已知利用漏洞目录的相关记录。