En bref

  • CVE-2025-53521 (CVSS v4 9.3) : exécution de code à distance non authentifiée sur F5 BIG-IP Access Policy Manager (APM) via le processus apmd, initialement classée DoS et reclassée RCE en mars 2026.
  • Plus de 17 100 instances BIG-IP APM exposées sur Internet, dont environ 14 000 vulnérables. Versions affectées : 17.5.0-17.5.1, 17.1.0-17.1.2, 16.1.0-16.1.6, 15.1.0-15.1.10.
  • Action urgente : appliquer les correctifs F5 publiés en octobre 2025, isoler le port APM et chercher des indicateurs de compromission - exploitation active confirmée par F5 et CISA.

Les faits

La vulnérabilité CVE-2025-53521 affecte le module Access Policy Manager (APM) des appliances F5 BIG-IP, brique d'authentification et de SSO déployée massivement chez les grandes entreprises et les opérateurs d'importance vitale pour sécuriser l'accès aux applications internes. Initialement divulguée le 15 octobre 2025 dans le bulletin de sécurité trimestriel F5 et classée à l'époque comme une simple vulnérabilité de déni de service (DoS), elle a été silencieusement reclassée par F5 fin mars 2026 en exécution de code à distance (RCE) non authentifiée à la suite de nouvelles informations transmises par des chercheurs externes. Le score CVSS v4 a été réévalué à 9.3, plaçant la CVE dans la catégorie Critical.

Le tournant médiatique intervient le 27 mars 2026, lorsque F5 indique dans une mise à jour de son advisory que la vulnérabilité fait l'objet d'une exploitation active in-the-wild. Le 28 mars 2026, l'agence américaine CISA inscrit la CVE-2025-53521 à son catalogue Known Exploited Vulnerabilities (KEV), imposant aux agences fédérales un délai de remédiation accéléré. Le 29 mars 2026, le CERT-FR publie l'alerte CERTFR-2026-ALE-004 et qualifie la vulnérabilité de critique, recommandant l'application immédiate des correctifs. Le NCSC britannique relaie la même semaine l'alerte à destination des opérateurs critiques.

Le composant vulnérable est le processus apmd, le démon central d'APM responsable du traitement des sessions d'authentification. Lorsqu'un virtual server BIG-IP est configuré avec une access policy active - ce qui constitue le mode de déploiement standard d'APM - l'apmd accepte les connexions entrantes sur le port d'écoute de l'access policy, typiquement HTTPS. Selon les détails techniques publiés par Truesec et Hadrian.io, la faille réside dans la manière dont apmd traite certaines requêtes HTTP malformées : un buffer overflow ou une corruption de la heap permet à un attaquant non authentifié, accessible uniquement via le réseau, de détourner le flux d'exécution et d'exécuter du code arbitraire dans le contexte du processus apmd, qui s'exécute généralement avec des privilèges élevés sur l'appliance.

Les versions vulnérables couvrent une plage particulièrement large : BIG-IP APM 17.5.0 à 17.5.1, 17.1.0 à 17.1.2, 16.1.0 à 16.1.6, et 15.1.0 à 15.1.10. F5 a publié des correctifs dans les hotfix engineering (HF) correspondants, ainsi que les versions stables 17.5.2, 17.1.3, 16.1.7 et 15.1.11. Une mitigation temporaire consiste à désactiver les access policies sur les virtual servers exposés - une option rarement viable en production puisqu'elle revient à supprimer le service rendu par APM.

Le SOCRadar Threat Intelligence Team a publié le 30 mars 2026 une analyse détaillée du chemin d'exploitation, confirmant qu'aucune authentification n'est requise et que la vulnérabilité est déclenchable à distance via une seule requête HTTPS forgée. Cette caractéristique - pré-authentification, vecteur réseau, faible complexité - explique le score CVSS v4 de 9.3 et le passage rapide au catalogue KEV. La présence de proof-of-concepts privés dans plusieurs forums underground a été confirmée par Arctic Wolf dès le 25 mars 2026.

Sur le plan de l'exposition, le travail de fingerprinting réalisé par CyberTechnology Insights et SecurityAffairs au 31 mars 2026 dénombre plus de 17 100 instances BIG-IP APM exposées sur Internet à travers le monde. Sur ce parc, environ 14 000 sont identifiées comme vulnérables - soit elles font tourner une version listée dans l'advisory, soit elles n'ont pas appliqué le hotfix de sécurité. Les concentrations géographiques les plus fortes se trouvent aux États-Unis, en Allemagne, au Japon et au Royaume-Uni, avec une présence significative en France notamment dans les secteurs bancaire et public.

Le contexte de l'attaque est particulièrement préoccupant pour les défenseurs. F5 BIG-IP APM est positionné en première ligne, devant les applications critiques : portails RH, ERP, applications métiers internes, parfois même les consoles d'administration des autres équipements de sécurité. Une exploitation réussie ne donne pas seulement le contrôle de l'appliance, elle place l'attaquant en position de détourner ou d'intercepter toutes les sessions d'authentification SSO transitant par le BIG-IP, avec un potentiel de mouvement latéral massif dans le SI. Les groupes APT et certains affiliés ransomware ont historiquement ciblé F5 BIG-IP - on se souvient notamment de la CVE-2022-1388, de la CVE-2023-46747 et plus récemment de la CVE-2025-31644 du 23 octobre 2025.

Le décalage entre la divulgation initiale d'octobre 2025 - où la vulnérabilité était sous-estimée comme DoS - et la requalification en RCE de mars 2026 constitue un facteur aggravant. De nombreuses organisations ayant priorisé leurs patches sur la base du score initial CVSS v3 (autour de 7.5 pour un DoS) ont reporté la mise à jour, considérant qu'un déni de service ponctuel sur un BIG-IP APM était gérable. Ce délai a offert aux attaquants une fenêtre d'environ cinq mois pour développer leurs exploits avant que le défenseur ne réalise l'ampleur du problème. Cette mésaventure illustre la nécessité de revoir périodiquement les CVE classées en sévérité moyenne, particulièrement lorsque le composant affecté est exposé en bordure de réseau.

Impact et exposition

L'exposition est massive et concrète. Les 14 000 instances vulnérables identifiées par les chercheurs représentent autant de portes d'entrée potentielles vers des systèmes d'information de grande envergure. Une appliance BIG-IP APM compromise donne à l'attaquant un poste d'observation privilégié sur l'authentification de toute l'organisation, avec la possibilité de capturer des credentials, de forger des sessions valides, ou d'injecter du contenu malveillant dans le flux de réponses HTTPS retourné aux utilisateurs légitimes.

Les conditions d'exploitation sont parmi les pires possibles : aucune authentification, vecteur réseau distant, complexité d'attaque faible, payload livrable en une seule requête HTTPS. Cela en fait une cible de choix pour les scans de masse opérés par les courtiers en accès initial (Initial Access Brokers), qui revendent ensuite les accès compromis aux groupes ransomware. F5 et Arctic Wolf ont confirmé l'observation d'au moins deux clusters d'activité offensive distincts exploitant la CVE depuis fin mars 2026.

La surface d'attaque dépasse l'appliance elle-même. Une fois apmd compromis, l'attaquant peut typiquement pivoter vers le tmm (Traffic Management Microkernel) qui est le cœur du data plane BIG-IP, ou vers les fonctions de management. Les organisations exposant simultanément la console de management et le port APM sur le même équipement, sans segmentation suffisante, courent un risque de compromission complète de l'équipement réseau de bordure.

L'exploitation active est confirmée et documentée. La présence de la CVE au KEV impose aux agences fédérales américaines une remédiation sous 21 jours et constitue un signal fort pour le secteur privé. En France, l'inscription à l'alerte CERT-FR ALE-004 confère le même niveau d'urgence pour les opérateurs d'importance vitale et les opérateurs de services essentiels au titre de la directive NIS2.

Recommandations immédiates

  • Appliquer immédiatement les versions correctives F5 BIG-IP APM : 17.5.2, 17.1.3, 16.1.7 ou 15.1.11 selon la branche déployée (advisory F5 K000150123, mise à jour du 27 mars 2026).
  • À défaut, désactiver temporairement les access policies sur les virtual servers exposés sur Internet jusqu'à fenêtre de maintenance.
  • Restreindre l'accès aux ports APM via des ACL au niveau du firewall périmétrique en attendant le patch.
  • Auditer les logs apmd et les fichiers core dump à la recherche de crashes ou de comportements anormaux depuis octobre 2025 - un crash apmd suivi d'un redémarrage est un indicateur de compromission probable.
  • Faire tourner toutes les credentials d'administration BIG-IP, certificats SSL/TLS, secrets de signature SAML et clés de chiffrement utilisés par APM.
  • Surveiller les sorties sortantes depuis les BIG-IP vers des destinations Internet inhabituelles, signe d'exfiltration ou de C2.

⚠️ Urgence

Exploitation active confirmée par F5, CISA et CERT-FR. Avec 14 000 instances toujours vulnérables au 31 mars 2026 et un score CVSS v4 de 9.3, cette CVE constitue l'une des menaces les plus graves de ce printemps 2026 sur les équipements de bordure. Les opérateurs critiques doivent traiter le patching comme un incident de sécurité prioritaire.

Comment savoir si je suis vulnérable ?

Sur l'appliance BIG-IP, exécutez tmsh show /sys version pour afficher la version installée. Toute version dans les plages 17.5.0-17.5.1, 17.1.0-17.1.2, 16.1.0-16.1.6 ou 15.1.0-15.1.10 est vulnérable si une access policy APM est attachée à un virtual server. Vérifiez la configuration via tmsh list /apm policy access-policy. Pour les déploiements multi-tenants ou virtuels, contrôlez chaque guest BIG-IP séparément.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit