PT-2025-42325 · F5 · F5 Big-Ip Apm
Publicado
2025-10-15
·
Atualizado
2026-06-11
·
CVE-2025-53521
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
F5 BIG-IP versões anteriores a 17.5.1.3
F5 BIG-IP versões anteriores a 17.1.3
F5 BIG-IP versões anteriores a 16.1.6.1
F5 BIG-IP versões anteriores a 15.1.10.8
Description
Uma Execução Remota de Código (RCE) não autenticada existe no F5 BIG-IP Access Policy Manager (APM) quando uma política de acesso está configurada em um servidor virtual. O problema decorre de desserialização insegura e verificação inadequada de limites de memória no processo
apmd (o mecanismo que processa o tráfego ao vivo para políticas de acesso) durante o handshake inicial SSL/TLS. Atacantes podem enviar uma sequência específica de cabeçalhos HTTP não padronizados, conhecida como payload "Glint", para desencadear um heap buffer overflow — uma condição onde os dados excedem o buffer de memória alocado — permitindo que o atacante sobrescreva o ponteiro de instrução e obtenha acesso ao shell de root. Isso pode levar ao comprometimento total do sistema, interceptação de tráfego descriptografado, roubo de tokens de sessão MFA e a implantação de backdoors persistentes, como o malware Brickstorm, que modifica o componente de integridade sys-eicheck para sobreviver a reinicializações. Mais de 14.000 instâncias expostas à internet foram identificadas mundialmente, com relatórios de varreduras e explorações ativas. A exploração bem-sucedida permite o roubo de credenciais, movimentação lateral em redes internas e exfiltração de dados.Recommendations
Atualize para as versões 17.5.1.3, 17.1.3, 16.1.6.1 ou 15.1.10.8, conforme aplicável.
Se houver suspeita de comprometimento, reconstrua os sistemas a partir de imagens conhecidas e confiáveis e não restaure backups UCS criados após o possível comprometimento.
Restrinja ou bloqueie o acesso público da internet às interfaces de gerenciamento e administração usando firewalls ou ACLs.
Rotacione todas as credenciais, tokens de sessão e certificados armazenados nos dispositivos afetados.
Audite discos, logs e histórico do terminal em busca de indicadores de comprometimento, verificando especificamente hashes incompatíveis em
/usr/bin/umount e /usr/sbin/httpd, a presença de /run/bigtlog.pipe e arquivos não autorizados em /shared/bin/ ou /usr/bin/sys-eicheck.
Imponha a Autenticação de Múltiplos Fatores (MFA) para todas as contas administrativas.
Como mitigação temporária, desative o APM se não for necessário ou restrinja o acesso aos servidores virtuais com políticas APM ativas.Correção
RCE
LPE
DoS
Allocation of Resources Without Limits
Stack Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
F5 Big-Ip Apm