CISA F5 BIG-IP APM активдүү пайдаланылгандан кийин CVE-2025-53521'ди KEV'ге кошот

CISA CVE-2025-53521'ди белгилүү пайдаланылган кемчилдиктер (KEV) каталогуна кошту — жана бул азыр эле активдүү түрдө жапайы абалда колдонулуп жатат. Бул F5'тин BIG-IP Access Policy Manager (APM) системасындагы CVSS 9.3 баасы бар сырттан код аткаруу кемчилиги.

Котормосу: Эгерде сиз F5 BIG-IP APM колдонуп жатсаңыз, түзөтүүнү АЗЫР орнотуңуз. CISA Федералдык жарандык аткаруу бутактарына (FCEB) муну оңдоо үчүн 2026-жылдын 30-мартына чейин убакыт берет, бирок башкалар муну эң жогорку деңгээлдеги өзгөчө кырдаал катары карашы керек.

Кемчилик аутентификацияланбаган колдонуучуларга затарланган системаларда эркин код аткарууга мүмкүндүк берет. Бул толук системанын компрометациясы — жөн гана кичинекей маалымат агызы эмес. F5 2025-жылдын январь айында түзөтүүлөрдү чыгарган, бирок кыязы, баары билбеген.

CISA'нын KEV тизмесине киргизилиши бул азыр эле теориялык эмес экенин билдирет. Коркунучтуу субъекттер бул кемчилдикти активдүү түрдө жапайы абалда пайдаланып жатышат, жана коргонуучулар үчүн убакыт азайып жатат. Башкаруу директивасы (BOD) 22-01 FCEB агенттиктеринен белгиленген мөөнөттө түзөтүүнү талап кылат, бирок жеке сектор уюмдары да ошол сыяктуу тез аракет кылышы керек.

CISA KEV каталогун ушуну үчүн түзгөн — азыр эле каршылаштар тарабынан колдонулуп жаткан кемчилдиктерди белгилөө үчүн. Бир нерсе бул тизмеге киргенде, бул 'түзөтүү мүмкүн' абалы эмес, 'баарын таштап, түзөтүү' өзгөчө кырдаалы.

Коопсуздук командалары: F5 BIG-IP APM орнотууларыңызды дароо текшериңиз. Эгерде сиз 2025-жылдын январь айындагы түзөтүүлөрдү колдонбогон болсоңуз, сиз убактылуу убакытта иштеп жатасыз. Эксплойт коомдук, түзөтүүлөр жеткиликтүү, жана жаман балдар муну тармактарга кирүү үчүн колдонушат.