{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"BIG-IP Access Policy Manager (tous les modules) versions 17.1.x ant\u00e9rieures \u00e0 17.1.3","product":{"name":"BIG-IP","vendor":{"name":"F5","scada":false}}},{"description":"BIG-IP Access Policy Manager (tous les modules) versions 15.1.x ant\u00e9rieures \u00e0 15.1.10.8","product":{"name":"BIG-IP","vendor":{"name":"F5","scada":false}}},{"description":"BIG-IP Access Policy Manager (tous les modules) versions 17.5.x ant\u00e9rieures \u00e0 17.5.1.3","product":{"name":"BIG-IP","vendor":{"name":"F5","scada":false}}},{"description":"BIG-IP Access Policy Manager (tous les modules) versions 16.1.x ant\u00e9rieures \u00e0 16.1.6.1","product":{"name":"BIG-IP","vendor":{"name":"F5","scada":false}}}],"affected_systems_content":"","closed_at":null,"content":"## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des correctifs (cf. section Documentation).","cves":[{"name":"CVE-2025-53521","url":"https://www.cve.org/CVERecord?id=CVE-2025-53521"}],"links":[{"title":"Consid\u00e9rations et conseils \u00e0 suivre si vous soup\u00e7onnez une faille de s\u00e9curit\u00e9 sur un syst\u00e8me BIG-IP","url":"https://my.f5.com/manage/s/article/K11438344"},{"title":"[1] Marqueur de compromission pour c05d5254","url":"https://my.f5.com/manage/s/article/K000160486"},{"title":"Avis CERT-FR CERTFR-2025-AVI-0886 du 16 octobre 2025","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0886/"}],"reference":"CERTFR-2026-ALE-004","revisions":[{"description":"Version initiale","revision_date":"2026-03-31T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Le 15 octobre 2025, F5 a publi\u00e9 un avis de s\u00e9curit\u00e9 concernant entre autres la vuln\u00e9rabilit\u00e9 CVE-2025-53521. Celle-ci affecte BIG-IP APM et permet \u00e0 un attaquant non authentifi\u00e9  d'ex\u00e9cuter du code \u00e0 distance.<br>\nLe 29 mars 2026, l'\u00e9diteur indique que cette vuln\u00e9rabilit\u00e9 est exploit\u00e9e activement.\n\nLe CERT-FR recommande d'effectuer une recherche de compromission en s'appuyant sur les \u00e9l\u00e9ments document\u00e9s par F5 dans son billet de blogue [1] :\n\n1 - Indicateurs de compromission dans le syst\u00e8me de fichiers :\n<ul>\n<li>la pr\u00e9sence des fichiers <code>/run/bigtlog.pipe</code> ou <code>/run/bigstart.ltm</code> ;</li>\n<li>des condensats des fichiers  <code>/usr/bin/umount</code> et <code>/usr/sbin/httpd</code> diff\u00e9rents de ceux des versions l\u00e9gitimes ;</li>\n<li>des tailles de fichiers ou date de cr\u00e9ation des fichiers <code>/usr/bin/umount</code> et <code>/usr/sbin/httpd</code> diff\u00e9rentes de celles des versions l\u00e9gitimes.</li>\n</ul>\n2 - Indicateurs de compromission dans les journaux :\n<ul>\n<li>dans les fichiers <code>/var/log/restjavad-audit.&lt;NUMBER&gt;.log</code>, v\u00e9rifier la pr\u00e9sence d'entr\u00e9es de la forme suivante, indiquant une requ\u00eate iControl via API REST par un utilisateur local :</li>\n<pre>\n[ForwarderPassThroughWorker{\"user\":\"local/f5hubblelcdadmin\",\"method\":\"POST\",\"uri\":\"http://localhost:8100/mgmt/tm/util/bash\",\"status\":200,\"from\":\"Unknown\"}\n</pre>\n<li>dans les fichiers <code>/var/log/auditd/audit.log.&lt;NUMBER&gt;</code>, v\u00e9rifier la pr\u00e9sence d'entr\u00e9es de la forme suivante, indiquant des tentatives de d\u00e9sactivation du syst\u00e8me SELinux lors d'une requ\u00eate iControl via API REST :</li>\n<pre>\nmsg='avc: received setenforce notice (enforcing=0) exe=\"/usr/lib/systemd/systemd\" sauid=0 hostname=? addr=? terminal=?'\n</pre>\n<li>dans le fichier <code>/var/log/audit</code>, v\u00e9rifier la pr\u00e9sence d'entr\u00e9es de la forme suivante :</li>\n<pre>\nuser=f5hubblelcdadmin folder=/Common module=(tmos)# status=[Command OK] cmd_data=run util bash &lt;VARIABLE_COMMAND&gt;\n</pre>\nCette entr\u00e9e illustre un exemple de commande ex\u00e9cut\u00e9e et consign\u00e9e dans le journal d\u2019audit, corr\u00e9l\u00e9e \u00e0 la requ\u00eate iControl\u202fREST mentionn\u00e9e ci\u2011dessus.\n</ul>\n\n3 - Indicateurs de compromission lors d'ex\u00e9cutions de commandes de contr\u00f4le :\n<ul>\n<li>ex\u00e9cution de <code>sys\u2011eicheck</code> : il s'agit d'un v\u00e9rificateur d\u2019int\u00e9grit\u00e9 du syst\u00e8me, composant logiciel install\u00e9 sur les appliances BIG\u2011IP. Il s\u2019appuie sur la fonctionnalit\u00e9 de v\u00e9rification d\u2019int\u00e9grit\u00e9 des paquets RPM et confronte les ex\u00e9cutables pr\u00e9sents sur le disque aux empreintes (condensats) stock\u00e9es dans la base de donn\u00e9es RPM. Lorsqu\u2019une diff\u00e9rence est constat\u00e9e, le syst\u00e8me alerte les utilisateurs.</li>\n\nL'ex\u00e9cution de cette commande peut indiquer des erreurs de conformit\u00e9, en particulier concernant les fichiers <code>/usr/bin/umount</code> ou <code>/usr/sbin/httpd</code>.\n\n<li>ex\u00e9cution de <code>lsof -n</code> : le syst\u00e8me est compromis si la pr\u00e9sence de <code>/run/bigtlog.pipe</code> est av\u00e9r\u00e9e.</li>\n</ul>\n","title":"Vuln\u00e9rabilit\u00e9 dans F5 BIG-IP Access Policy Manager","vendor_advisories":[{"published_at":"2025-10-15","title":"Bulletin de s\u00e9curit\u00e9 F5 K000156741","url":"https://my.f5.com/manage/s/article/K000156741"}]}