CVE-2025-53521: Vulnerabilidade no BIG-IP APM permite execução remota de código

This post is also available in: Português

A CVE-2025-53521 é uma vulnerabilidade crítica que afeta o módulo Access Policy Manager (APM) do BIG-IP, solução amplamente utilizada para controle de acesso seguro em ambientes corporativos. Com pontuação CVSS 9.3, a falha permite execução remota de código (RCE) mediante o envio de tráfego malicioso especialmente construído, representando um risco elevado para organizações que utilizam a tecnologia.

Além da alta criticidade, a vulnerabilidade ganhou ainda mais relevância após ser adicionada ao catálogo de vulnerabilidades exploradas ativamente da CISA, indicando que já existem ataques em andamento explorando essa falha.

Sobre a F5 e o BIG-IP APM

A F5 é uma empresa global reconhecida por suas soluções de entrega e segurança de aplicações. Entre seus principais produtos está a plataforma BIG-IP, que inclui diversos módulos voltados à proteção e gerenciamento de tráfego.

O BIG-IP APM (Access Policy Manager) é responsável por fornecer controle de acesso baseado em identidade, autenticação multifator, VPN e políticas de acesso adaptativas. Por atuar diretamente na camada de autenticação e autorização, qualquer vulnerabilidade nesse componente pode ter impactos significativos na segurança da organização.

Detalhes técnicos da CVE-2025-53521

A vulnerabilidade CVE-2025-53521 ocorre quando uma política de acesso do APM está configurada em um servidor virtual. Nesse cenário, um invasor pode explorar falhas relacionadas ao processamento de requisições para enviar tráfego malicioso capaz de desencadear a execução remota de código no sistema afetado.

Tecnicamente, a falha está associada a fraquezas como estouro de buffer (CWE-121) e consumo excessivo de recursos (CWE-770), indicando problemas na forma como o sistema gerencia memória e requisições simultâneas. Esse tipo de combinação pode ser explorado para comprometer completamente o dispositivo.

Um ponto importante é que versões de software que já atingiram o Fim do Suporte Técnico (EoTS) não foram avaliadas, o que significa que ambientes desatualizados podem estar ainda mais expostos, sem qualquer correção disponível.

Gravidade e impacto para as organizações

Com um CVSS de 9.3, a CVE-2025-53521 é considerada crítica. O impacto vai muito além de uma simples falha operacional.

A exploração bem-sucedida permite que um atacante execute código remotamente no dispositivo BIG-IP, o que pode resultar em controle total do sistema. Isso abre caminho para comprometimento de credenciais, interceptação de tráfego, movimentação lateral na rede e até interrupção de serviços críticos.

Outro fator preocupante é o fato de o APM estar diretamente ligado ao controle de acesso. Isso significa que, ao comprometer esse componente, o invasor pode contornar mecanismos de autenticação e acessar sistemas internos de forma privilegiada.

Exploração ativa e alerta da CISA

A inclusão da vulnerabilidade no catálogo KEV (Known Exploited Vulnerabilities) da CISA confirma que a CVE-2025-53521 já está sendo explorada ativamente em ataques reais.

Relatórios recentes de empresas de segurança indicam que agentes maliciosos estão utilizando essa falha para obter acesso inicial a ambientes corporativos, especialmente em dispositivos expostos à internet.

Esse cenário eleva significativamente o nível de urgência para aplicação de correções, já que não se trata apenas de um risco teórico, mas de uma ameaça concreta em circulação.

Possíveis cenários de ataque

Na prática, um atacante pode explorar essa vulnerabilidade enviando requisições maliciosas diretamente ao servidor BIG-IP configurado com APM. A partir daí, a execução remota de código permite a instalação de backdoors, coleta de credenciais e manipulação de sessões de usuários.

Em ambientes corporativos, isso pode significar o comprometimento de VPNs, portais de acesso remoto e sistemas internos protegidos pelo APM. Como consequência, o invasor pode se passar por usuários legítimos e acessar dados sensíveis sem levantar suspeitas imediatas.

Além disso, a exploração pode ser utilizada como ponto de entrada para ataques mais amplos, como ransomware ou espionagem corporativa.

Mitigações e recomendações

A principal recomendação é aplicar imediatamente as atualizações de segurança disponibilizadas pela F5. A empresa já publicou orientações específicas para mitigar a vulnerabilidade, incluindo patches e boas práticas de configuração.

Também é fundamental revisar a exposição dos dispositivos BIG-IP à internet, restringindo acessos sempre que possível e implementando controles adicionais de segurança, como autenticação forte e segmentação de rede.

Monitorar logs e comportamentos anômalos é outra medida essencial, especialmente considerando a exploração ativa da falha. Qualquer atividade suspeita envolvendo o APM deve ser tratada como potencial incidente de segurança.

This post is also available in: Português

Diagnóstico que avalia a nível de conformidade com a Lei Geral de Proteção de Dados

Fazer diagnóstico

Ebooks 5 Dicas para evitar sequestro de dados

Nossas 5 dicas fundamentais para evitar sequestro de dados

Baixar eBook

Ebooks 10 dicas essenciais para aquisição de firewalls

Conheça os principais tópicos a serem considerados na aquisição de um firewall.

Baixar eBook

Ebooks Guia Lei Geral de Proteção de Dados

Documento completo para ambientalização à Lei Geral de Proteção de Dados

Baixar eBook

Sobre a F5 e o BIG-IP APM

Detalhes técnicos da CVE-2025-53521

Gravidade e impacto para as organizações

Exploração ativa e alerta da CISA

Possíveis cenários de ataque

Mitigações e recomendações

CVE-2026-21643: Falha de SQL Injection no FortiClient EMS permite execução remota sem autenticação

Cadastre-se em nossa newsletter