A CISA – Cybersecurity & Infrastructure Security Agency adicionou a vulnerabilidade CVE-2025-53521 ao catálogo KEV após confirmar exploração ativa em ambiente real. A falha afeta o F5 BIG-IP Access Policy Manager (APM) e possui alta criticidade (CVSS 9,3). Esse tipo de vulnerabilidade é um vetor de ataque frequente para agentes cibernéticos maliciosos e representa riscos significativos para a administração federal.
Inicialmente tratada como negação de serviço (DoS), a vulnerabilidade foi reclassificada como execução remota de código (RCE) após novas evidências em março de 2026 — o que eleva significativamente o risco, permitindo que atacantes executem comandos remotamente, possivelmente sem autenticação.
A F5 confirmou que a falha já foi explorada e publicou indicadores de comprometimento (IoCs), incluindo:
- Alterações em arquivos críticos do sistema e inconsistências de hash
- Logs indicando uso indevido da API REST (iControl) e desativação de mecanismos de segurança (SELinux)
- Possível uso de webshells, inclusive operando apenas em memória (difíceis de detectar)
- Tráfego HTTP/S suspeito disfarçado como conteúdo legítimo
A vulnerabilidade impacta diversas versões do BIG-IP (15.x a 17.x), já com patches disponíveis. Diante da exploração ativa, a CISA determinou que órgãos federais civis dos EUA devem corrigir os sistemas até 30 de março de 2026.
Especialistas destacam que houve uma mudança crítica no perfil de risco: de um problema operacional (DoS) para uma vulnerabilidade explorável com impacto direto na segurança. Além disso, já há varreduras intensas na internet em busca de sistemas vulneráveis.
