F5 BIG-IP APMの未認証RCEがCISA KEV入り、中国APTがF5侵害中に発見したCVE-2025-53521
F5 BIG-IP APM(Access Policy Manager)の未認証RCE脆弱性 CVE-2025-53521 が、CISA(米国サイバーセキュリティ・インフラセキュリティ庁)のKEV(Known Exploited Vulnerabilities)カタログに2026年3月27日付で追加された。連邦民間行政機関(FCEB)の対応期限は3月30日(月曜日)。
この脆弱性には特異な発見経緯がある。中国系の国家支援攻撃グループが2025年10月にF5のネットワークに侵入し、BIG-IPのソースコードと脆弱性情報を窃取した。そのデータをもとに「DoS」として扱われていた既知の不具合が「RCE」として再分類され、緊急度が一気に跳ね上がった。
脆弱性の概要
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2025-53521 |
| 対象 | F5 BIG-IP Access Policy Manager(APM) |
| 種別 | 未認証リモートコード実行(Pre-auth RCE) |
| CVSS v3.1 | 9.8(Critical) |
| CVSS v4.0 | 9.3(Critical) |
| パッチ提供 | 2025年10月(当初はDoSとして) |
| CISA KEV追加 | 2026年3月27日 |
| 連邦機関期限 | 2026年3月30日 |
攻撃は仮想サーバーにアクセスポリシーが設定された状態(デフォルトに近い構成)で成立する。apmd プロセスに対して特定の悪意あるトラフィックを送りつけるだけでRCEが発生し、アプライアンスモードも対象に含まれる。
F5ソースコード窃取から始まった再分類
2025年10月15日、F5はセキュリティ侵害を公表した。中国系国家支援グループが同社ネットワークに約12ヶ月間検知されずに潜伏し、BIG-IPのソースコードと脆弱性情報を盗み出していたというものだ。
攻撃者はこのソースコードを使って、既存のパッチ済み脆弱性が「実はDoSではなくRCEとして悪用できる」ことを突き止めた。F5が10月時点でDoSとして扱いパッチを提供していた不具合が、2026年3月に入って新情報に基づきRCEに再分類された。パッチは形式上すでに存在していたが、緊急度の評価が根本的に変わった形だ。
攻撃グループはF5の内部に Brickstorm バックドアを展開していた。Brickstorm は中国系APTが欧州企業を標的にした攻撃キャンペーン(一連の攻撃活動)で使用実績があるバックドアで、VMware ESXiとLinux環境での動作が確認されている。ネットワーク内部に長期潜伏するための設計になっており、今回の侵害でも12ヶ月にわたって存在を隠し続けた。
攻撃の技術的詳細
F5が文書化した侵害後の攻撃者の行動パターンから、標的環境への足がかりを掴んだ後の動きが見えてくる。
flowchart TD
A[攻撃者: 未認証HTTPリクエスト] --> B[BIG-IP APM<br/>仮想サーバー<br/>アクセスポリシー設定済み]
B --> C{apmdプロセス<br/>不正入力処理<br/>CVE-2025-53521}
C --> D[RCE成立<br/>認証なし]
D --> E[SELinux無効化<br/>セキュリティモジュール解除]
E --> F1[管理インターフェース掌握]
E --> F2[メモリ上のみで動作する<br/>ウェブシェル展開]
F1 --> G[内部ネットワークへの横展開<br/>Fortune 500企業の認証・VPN基盤]
F2 --> H[ディスクに痕跡を残さず持続化<br/>検知困難]特に厄介なのがメモリ上のみで動作するウェブシェルだ。ディスクに一切書き込まれないため、従来のファイルシステムベースの検知ツールでは発見できない。F5はIOC(侵害の痕跡)としてシステムファイルの改ざん・SELinux無効化のログエントリ・特定のHTTP/Sトラフィックパターンを挙げているが、メモリ上ウェブシェルの検知には揮発性メモリのフォレンジック解析が必要になる。
標的はFortune 500企業の認証・VPN基盤を管理するBIG-IPシステムとされており、エンタープライズの認証インフラを押さえる狙いが見える。
影響を受けるバージョン
| バージョン系列 | 影響範囲 | 修正版 |
|---|---|---|
| BIG-IP APM 17.5.x | 17.5.0 〜 17.5.1 | 17.5.2以降 |
| BIG-IP APM 17.1.x | 17.1.0 〜 17.1.2 | 17.1.0.4以降 |
| BIG-IP APM 16.1.x | 16.1.0 〜 16.1.6 | 16.1.4.3以降 |
| BIG-IP APM 15.1.x | 15.1.0 〜 15.1.10 | 15.1.10.2以降 |
パッチ自体は2025年10月に提供されている。ただし当時はDoSとしての緊急度評価だったため、パッチ適用を後回しにしていた環境も多いとみられる。KEV追加を受けて、Defused Cyberが「脆弱なF5 BIG-IPデバイスへのスキャンが急増している」と観測を報告している。
対応
BIG-IP APMを運用しているすべての環境で、上記の修正バージョンへの即時更新が必要。BIG-IP APMを使用していない場合(例えばLTMのみの構成)は影響しない。
アクセスポリシーが設定された仮想サーバーが攻撃の入口となるため、インターネット向けに公開しているAPM環境は特に優先度が高い。
CISA KEVカタログへの追加は積極的な悪用が確認された証拠に基づく。KEVに追加された脆弱性の実際の悪用確率は一般的なCVEの約10倍という研究があり、「パッチ済みだから後で」という判断は通用しない。