A agência CISA adicionou uma vulnerabilidade crítica que afeta o F5 BIG-IP Access Policy Manager (APM) ao seu catálogo de falhas exploradas ativamente (KEV), após identificar evidências concretas de ataques em andamento. A falha, identificada como CVE-2025-53521, recebeu pontuação 9.3 no CVSS v4 e permite execução remota de código (RCE), um dos cenários mais graves em segurança cibernética.

Inicialmente tratada como uma vulnerabilidade de negação de serviço (DoS), a falha foi reclassificada após novas análises conduzidas em março de 2026. Segundo a F5 Networks, tráfego malicioso direcionado a servidores com políticas APM configuradas pode permitir que um invasor execute código remotamente, sem necessidade de autenticação — elevando significativamente o nível de risco para organizações afetadas.

A confirmação de exploração ativa levou a CISA a determinar um prazo urgente: agências federais dos EUA devem aplicar as correções até 30 de março de 2026. A inclusão no catálogo KEV indica que a vulnerabilidade já está sendo utilizada por hackers em ataques reais, o que amplia a urgência para mitigação também no setor privado.

Além do alerta, a F5 divulgou uma série de indicadores de comprometimento (IoCs) que podem ajudar equipes de segurança a identificar possíveis invasões. Entre os sinais estão a presença de arquivos suspeitos como /run/bigtlog.pipe, alterações em binários críticos como /usr/bin/umount e /usr/sbin/httpd, além de registros de acesso incomuns à API iControl REST diretamente via localhost — comportamento típico de movimentação lateral após invasão.

Outro ponto crítico envolve técnicas utilizadas pelos hackers para ocultar suas atividades. Foram observados casos em que o tráfego HTTP do próprio equipamento comprometido retorna códigos 201 com conteúdo CSS, mascarando comunicações maliciosas. Também há evidências de uso de webshells que operam exclusivamente em memória, dificultando a detecção por ferramentas tradicionais baseadas em arquivos.

As versões impactadas incluem múltiplas releases do BIG-IP, desde a 15.x até a 17.x, com patches já disponibilizados pela fabricante. Especialistas alertam que muitas organizações podem ter subestimado o risco inicialmente, quando a falha ainda era tratada como DoS. Agora, com a confirmação de execução remota de código e exploração ativa, o cenário muda drasticamente.

O aumento recente em atividades de varredura na internet também reforça o risco. Pesquisas indicam que hackers estão buscando dispositivos vulneráveis explorando endpoints específicos da API REST do BIG-IP para coletar informações sensíveis como hostname, ID da máquina e endereço MAC — dados que podem ser usados em ataques mais direcionados.

Diante desse cenário, a recomendação é clara: aplicar imediatamente os patches de segurança, revisar logs e verificar indicadores de comprometimento. A janela entre a descoberta e a exploração ativa tem se tornado cada vez menor — e, neste caso, já foi ultrapassada.