ثغرة CVE-2025-53521 في F5 BIG-IP APM تدخل قائمة CISA للثغرات المستغلة

ثغرة CVE-2025-53521 في F5 BIG-IP APM تدخل قائمة CISA للثغرات المستغلة
ثغرة CVE-2025-53521 في F5 BIG-IP APM تدخل قائمة CISA للثغرات المستغلة
شارك هذا الخبر

أعلنت وكالة الأمن السيبراني والبنية التحتية الأميركية CISA عن إضافة الثغرة الحرجة CVE-2025-53521 إلى قائمة الثغرات المستغلة فعليًا (KEV)، بعد رصد نشاط هجومي نشط يستهدف أنظمة F5 BIG-IP Access Policy Manager (APM). الثغرة التي حصلت على تقييم خطورة 9.3 وفق معيار CVSS v4، كانت قد صُنفت في البداية كخلل يؤدي إلى هجمات حجب الخدمة (DoS) بدرجة خطورة أقل، قبل أن يتم إعادة تصنيفها في مارس 2026 كإمكانية لتنفيذ تعليمات برمجية عن بُعد (RCE) إثر ظهور معلومات جديدة.

مؤشرات الاختراق والأنشطة الخبيثة

شركة F5 نشرت مجموعة من المؤشرات التي يمكن أن تساعد مسؤولي الأنظمة في التحقق من وجود اختراق، من بينها:

  • وجود ملفات غير معتادة مثل /run/bigtlog.pipe أو /run/bigstart.ltm.
    اختلاف قيم التجزئة (hashes) أو أحجام الملفات الخاصة بـ /usr/bin/umount و/usr/sbin/httpd مقارنة بالإصدارات السليمة.
    سجلات في ملفات مثل /var/log/restjavad-audit أو /var/log/auditd/audit.log تشير إلى وصول محلي غير مصرح به إلى واجهة iControl REST API لتعطيل SELinux.
  • حركة مرور HTTP/S مشبوهة تتضمن استجابات HTTP 201 مع محتوى CSS لإخفاء نشاط المهاجمين. كما حذرت الشركة من إمكانية زرع webshells تعمل في الذاكرة فقط، ما يجعل اكتشافها أكثر صعوبة.
الإصدارات المتأثرة والمهلة الزمنية للتصحيح

الثغرة تؤثر على عدة إصدارات من BIG-IP، منها:

  • 17.5.0 – 17.5.1 (تم إصلاحها في 17.5.1.3)
  • 17.1.0 – 17.1.2 (تم إصلاحها في 17.1.3)
  • 16.1.0 – 16.1.6 (تم إصلاحها في 16.1.6.1)
  • 15.1.0 – 15.1.10 (تم إصلاحها في 15.1.10.8)

وقد منحت وكالة CISA الوكالات الفيدرالية الأميركية حتى 30 مارس 2026 لتطبيق التحديثات الأمنية اللازمة، في خطوة تعكس خطورة الاستغلال الجاري.

نشاط هجومي متزايد وتحذيرات الخبراء

أشار خبراء الأمن السيبراني إلى أن الوضع الحالي يمثل تحولًا جذريًا في تقييم المخاطر. حيث قال بنجامين هاريس، الرئيس التنفيذي لشركة watchTowr، إن الثغرة التي بدت في البداية أقل خطورة أصبحت الآن تمثل تهديدًا مباشرًا عبر استغلال pre-auth RCE، وهو ما أكدته إضافة الثغرة إلى قائمة KEV. في الوقت نفسه، رصدت شركة Defused Cyber نشاطًا مكثفًا لمسح الأجهزة الضعيفة، حيث يستهدف المهاجمون واجهة REST API الخاصة بـ BIG-IP للحصول على معلومات حساسة مثل معرف الجهاز وعنوان MAC الأساسي.

الكلمات المفتاحية: CVE-2025-53521, F5 BIG-IP, APM, CISA, KEV, RCE, DoS, iControl REST API, SELinux, webshell, watchTowr, Defused Cyber, أمن الشبكات, ثغرات مستغلة, استغلال نشط, تحديثات أمنية

محمد وهبى
محمد وهبى
المقالات: 1017

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة