CERTFR-2026-ALE-004_Vulnérabilité dans F5 BIG-IP Access Policy Manager

Vulnérabilité dans F5 BIG-IP Access Policy Manager

CERTFR-2026-ALE-004

• Exécution de code arbitraire à distance

• BIG-IP Access Policy Manager (tous les modules) versions 15.1.x antérieures à 15.1.10.8
• BIG-IP Access Policy Manager (tous les modules) versions 16.1.x antérieures à 16.1.6.1
• BIG-IP Access Policy Manager (tous les modules) versions 17.1.x antérieures à 17.1.3
• BIG-IP Access Policy Manager (tous les modules) versions 17.5.x antérieures à 17.5.1.3

Le 15 octobre 2025, F5 a publié un avis de sécurité concernant entre autres la vulnérabilité CVE-2025-53521. Celle-ci affecte BIG-IP APM et permet à un attaquant non authentifié d'exécuter du code à distance.
Le 29 mars 2026, l'éditeur indique que cette vulnérabilité est exploitée activement.

Le CERT-FR recommande d'effectuer une recherche de compromission en s'appuyant sur les éléments documentés par F5 dans son billet de blogue [1] :

Cette entrée illustre un exemple de commande exécutée et consignée dans le journal d’audit, corrélée à la requête iControl REST mentionnée ci‑dessus.

1. Indicateurs de compromission dans le système de fichiers :
   • la présence des fichiers /run/bigtlog.pipe ou /run/bigstart.ltm ;
   • des condensats des fichiers /usr/bin/umount et /usr/sbin/httpd différents de ceux des versions légitimes ;
   • des tailles de fichiers ou date de création des fichiers /usr/bin/umount et /usr/sbin/httpd différentes de celles des versions légitimes.
2. Indicateurs de compromission dans les journaux :
   • dans les fichiers /var/log/restjavad-audit.<NUMBER>.log, vérifier la présence d'entrées de la forme suivante, indiquant une requête iControl via API REST par un utilisateur local :

     [ForwarderPassThroughWorker{"user":"local/f5hubblelcdadmin","method":"POST","uri":"http://localhost:8100/mgmt/tm/util/bash","status":200,"from":"Unknown"}

   • • dans les fichiers /var/log/auditd/audit.log.<NUMBER>, vérifier la présence d'entrées de la forme suivante, indiquant des tentatives de désactivation du système SELinux lors d'une requête iControl via API REST :

       msg='avc: received setenforce notice (enforcing=0) exe="/usr/lib/systemd/systemd" sauid=0 hostname=? addr=? terminal=?'

   • • dans le fichier /var/log/audit, vérifier la présence d'entrées de la forme suivante :

       user=f5hubblelcdadmin folder=/Common module=(tmos)# status=[Command OK] cmd_data=run util bash <VARIABLE_COMMAND>

3. Indicateurs de compromission lors d'exécutions de commandes de contrôle :
   • exécution de sys‑eicheck : il s'agit d'un vérificateur d’intégrité du système, composant logiciel installé sur les appliances BIG‑IP. Il s’appuie sur la fonctionnalité de vérification d’intégrité des paquets RPM et confronte les exécutables présents sur le disque aux empreintes (condensats) stockées dans la base de données RPM. Lorsqu’une différence est constatée, le système alerte les utilisateurs.

L'exécution de cette commande peut indiquer des erreurs de conformité, en particulier concernant les fichiers /usr/bin/umount ou /usr/sbin/httpd.

• • exécution de lsof -n : le système est compromis si la présence de /run/bigtlog.pipe est avérée.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

• Bulletin de sécurité F5 K000156741 du 15 octobre 2025
• [1] Marqueur de compromission pour c05d5254
• Avis CERT-FR CERTFR-2025-AVI-0886 du 16 octobre 2025
• Considérations et conseils à suivre si vous soupçonnez une faille de sécurité sur un système BIG-IP
• CVE-2025-53521

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2026-ALE-004/