文章总结： F5BIG-IPAPM存在高危RCE漏洞CVE-2025-53521正被活跃利用，全球超14000台设备暴露。该漏洞最初被低估为DoS漏洞导致补丁延迟，现攻击者可完全控制设备实施数据窃取或勒索软件。紧急应对措施包括立即升级补丁版本、审查系统日志排查失陷迹象、审计外部暴露接口。 综合评分： 87 文章分类： 漏洞预警,应急响应,威胁情报,漏洞分析,网络安全

14000余台F5 BIG-IP暴露，高危RCE漏洞正遭活跃利用

FreeBuf

2026年4月5日 18:01 上海

#

F5 BIG-IP访问策略管理器（APM）的关键安全漏洞正遭活跃利用，致使数以千计的企业网络面临风险。该漏洞被官方标记为（CVE-2025-53521），当其影响从标准拒绝服务（DoS）升级为严重远程代码执行（RCE）漏洞后，立即引发网络安全界的紧急警报。

美国网络安全与基础设施安全局（CISA）已将该漏洞列入其已知 exploited漏洞目录，要求立即采取行动。Shadowserver基金会提供的遥测数据显示，2026年3月31日研究人员在全球范围内识别出超过17,100个暴露的F5 BIG-IP APM实例。尽管部分组织已开始部署修复措施，仍有超过14,000套系统完全暴露在公共互联网中。根据设备地理分布图谱，美国和日本的受影响实例最为集中。

由于BIG-IP APM作为企业应用访问的安全网关，成功利用该漏洞的攻击者可绕过企业边界防护，直接渗透内部网络。

#

Part01

补丁延迟的严重后果

漏洞最初被归类为DoS问题是造成大规模暴露的主因。F5首次披露（CVE-2025-53521）时仅将其评定为DoS漏洞，在企业环境中，此类漏洞的修补优先级通常低于直接入侵威胁。VulnTracker安全研究人员指出，许多IT团队可能为处理更紧急的警报而暂缓部署该补丁。

当威胁行为体发现可将该漏洞武器化以实现任意远程代码执行后，滞后的补丁部署演变为重大安全隐患。攻击者通过此RCE漏洞可完全控制F5设备，进而实施数据窃取、勒索软件投放或深度网络驻留。

Part02

紧急应对措施

运行F5 BIG-IP APM服务的组织必须将此视为”立即修补”级事件，安全团队应采取以下措施：

• 应用厂商更新：立即查阅F5更新的安全公告（K000156741），将所有BIG-IP APM实例升级至最新修补版本
• 假定失陷并排查：鉴于漏洞正遭活跃利用，仅打补丁已不足够，管理员需彻底审查系统日志并主动搜寻入侵指标（IoCs）
• 审计外部资产：使用网络监控工具确保识别所有面向互联网的APM接口，并实施安全配置

（CVE-2025-53521）从可控DoS漏洞迅速升级为活跃利用的RCE漏洞，这一演变过程深刻警示着现代威胁态势的急速变化。

参考来源：

14,000+ F5 BIG-IP APM Devices Exposed Online Amid Active RCE Vulnerability Exploits

14,000+ F5 BIG-IP APM Devices Exposed Online Amid Active RCE Vulnerability Exploits

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《14000余台F5 BIG-IP暴露，高危RCE漏洞正遭活跃利用》