S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 31 mars 2026
N° CERTFR-2026-ALE-004
Affaire suivie par: CERT-FR

Bulletin d'alerte du CERT-FR

Objet: Vulnérabilité dans F5 BIG-IP Access Policy Manager

Gestion du document

Référence CERTFR-2026-ALE-004
Titre Vulnérabilité dans F5 BIG-IP Access Policy Manager
Date de la première version31 mars 2026
Date de la dernière version31 mars 2026
Source(s) Bulletin de sécurité F5 K000156741 du 15 octobre 2025

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • BIG-IP Access Policy Manager (tous les modules) versions 15.1.x antérieures à 15.1.10.8
  • BIG-IP Access Policy Manager (tous les modules) versions 16.1.x antérieures à 16.1.6.1
  • BIG-IP Access Policy Manager (tous les modules) versions 17.1.x antérieures à 17.1.3
  • BIG-IP Access Policy Manager (tous les modules) versions 17.5.x antérieures à 17.5.1.3

Résumé

Le 15 octobre 2025, F5 a publié un avis de sécurité concernant entre autres la vulnérabilité CVE-2025-53521. Celle-ci affecte BIG-IP APM et permet à un attaquant non authentifié d'exécuter du code à distance.
Le 29 mars 2026, l'éditeur indique que cette vulnérabilité est exploitée activement.

Le CERT-FR recommande d'effectuer une recherche de compromission en s'appuyant sur les éléments documentés par F5 dans son billet de blogue [1] :

  1. Indicateurs de compromission dans le système de fichiers :
    • la présence des fichiers /run/bigtlog.pipe ou /run/bigstart.ltm ;
    • des condensats des fichiers /usr/bin/umount et /usr/sbin/httpd différents de ceux des versions légitimes ;
    • des tailles de fichiers ou date de création des fichiers /usr/bin/umount et /usr/sbin/httpd différentes de celles des versions légitimes.
  2. Indicateurs de compromission dans les journaux :
    • dans les fichiers /var/log/restjavad-audit.<NUMBER>.log, vérifier la présence d'entrées de la forme suivante, indiquant une requête iControl via API REST par un utilisateur local :
      • [ForwarderPassThroughWorker{"user":"local/f5hubblelcdadmin","method":"POST","uri":"http://localhost:8100/mgmt/tm/util/bash","status":200,"from":"Unknown"}
    • dans les fichiers /var/log/auditd/audit.log.<NUMBER>, vérifier la présence d'entrées de la forme suivante, indiquant des tentatives de désactivation du système SELinux lors d'une requête iControl via API REST :
      • msg='avc: received setenforce notice (enforcing=0) exe="/usr/lib/systemd/systemd" sauid=0 hostname=? addr=? terminal=?'
    • dans le fichier /var/log/audit, vérifier la présence d'entrées de la forme suivante :
      • user=f5hubblelcdadmin folder=/Common module=(tmos)# status=[Command OK] cmd_data=run util bash <VARIABLE_COMMAND>
      Cette entrée illustre un exemple de commande exécutée et consignée dans le journal d’audit, corrélée à la requête iControl REST mentionnée ci‑dessus.
  3. Indicateurs de compromission lors d'exécutions de commandes de contrôle :
    • exécution de sys‑eicheck : il s'agit d'un vérificateur d’intégrité du système, composant logiciel installé sur les appliances BIG‑IP. Il s’appuie sur la fonctionnalité de vérification d’intégrité des paquets RPM et confronte les exécutables présents sur le disque aux empreintes (condensats) stockées dans la base de données RPM. Lorsqu’une différence est constatée, le système alerte les utilisateurs.

      • L'exécution de cette commande peut indiquer des erreurs de conformité, en particulier concernant les fichiers /usr/bin/umount ou /usr/sbin/httpd.

    • exécution de lsof -n : le système est compromis si la présence de /run/bigtlog.pipe est avérée.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 31 mars 2026
    Version initiale