Giriş
F5 BIG-IP Access Policy Manager (APM) üzerinde tespit edilen güvenlik açığı, siber güvenlik dünyasında ciddi bir tehdit oluşturuyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu açığın aktif şekilde istismar edildiğine dair kanıtlar bulunduğunu belirtmiştir.
Saldırı Nasıl Çalışıyor?
Söz konusu güvenlik açığı CVE-2025-53521 (CVSS v4 puanı: 9.3) olarak tanımlanmış ve kötü niyetli bir saldırganın uzaktan kod yürütmesine (Remote Code Execution – RCE) imkan tanıyabilecek bir durum olarak değerlendirilmiştir. İlk olarak bir hizmet reddi (DoS) açığı olarak sınıflandırılan bu durum, CISA’nın attığı yeni adımlarla birlikte RCE açığı olarak yeniden tanımlanmıştır; bu süreçte 8.7 olan CVSS puanı, 9.3 olarak güncellenmiştir.
Etkilenen Sistemler
Bu güvenlik açığı, aşağıdaki BIG-IP sürümlerini etkilemektedir:
- 17.5.0 – 17.5.1 (Düzeltme: 17.5.1.3)
- 17.1.0 – 17.1.2 (Düzeltme: 17.1.3)
- 16.1.0 – 16.1.6 (Düzeltme: 16.1.6.1)
- 15.1.0 – 15.1.10 (Düzeltme: 15.1.10.8)
Belirtiler ve Tespit Yöntemleri
F5, sistemin kötü amaçlı bir şekilde etkilenip etkilenmediğini değerlendirmek için kullanılabilecek bazı göstergeleri paylaşmıştır:
- Dosya ile ilgili göstergeler:
- /run/bigtlog.pipe ve/veya /run/bigstart.ltm dosyalarının varlığı.
- /usr/bin/umount ve/veya /usr/sbin/httpd dosyalarının bilinen iyi sürümleri ile karşılaştırıldığında hash uyumsuzluğu.
- Bilinen iyi sürümler ile karşılaştırıldığında dosya boyutu veya zaman damgalarında uyumsuzluk.
- Log ile ilgili göstergeler:
- “/var/log/restjavad-audit.
.log” dosyasında localhost’tan iControl REST API’ye erişen bir yerel kullanıcı kaydı. - “/var/log/auditd/audit.log.
” dosyasında SELinux’u devre dışı bırakmak için localhost’tan iControl REST API’ye erişen bir yerel kullanıcı kaydı.
- “/var/log/restjavad-audit.
- Diğer gözlemler:
- Sys-eicheck’in bağımlı olduğu bileşenlerde yapılan değişiklikler, özellikle /usr/bin/umount ve/veya /usr/sbin/httpd’nin beklenmedik değişiklikleri.
- HTTP/S trafiğinde HTTP 201 yanıt kodları ve saldırgan aktivitelerini gizlemek için CSS içeriği.
- Aşağıdaki dosyalarda değişiklikler, ama bunların varlığı tek başına bir güvenlik sorunu anlamına gelmez:
- /var/sam/www/webtop/renderer/apm_css.php3
- /var/sam/www/webtop/renderer/full_wt.php3
- /var/sam/www/webtop/renderer/webtop_popup_css.php3
Çözüm ve Korunma
Federal sivil yürütme organları, bu güvenlik açığının etkilerini azaltmak amacıyla, 30 Mart 2026 tarihine kadar gerekli güncellemeleri uygulamakla yükümlüdür. F5, güvenliğin sağlanması için aşağıdaki adımları önermekte:
- Tüm BIG-IP sistemlerini en son sürümlere güncelleyin.
- Etkinliği izlemek için yukarıda belirtilen dosya ve log göstergelerini düzenli olarak kontrol edin.
- Güvenlik duvarı kuralları ile gerekli portları kapatmayı değerlendirin.
Son olarak, CVE-2025-53521 güvenlik açığına karşı acil önlem almalı ve sistemlerinizi güncellemeyi ihmal etmemelisiniz. Aksi takdirde, sisteminiz ciddi risk altına girebilir.
