La CISA ajoute la CVE-2025-53521 au catalogue KEV après exploitation active de F5 BIG-IP APM. Reclassifiée de DoS vers RCE pré-auth avec un CVSS de 9.3.
En bref
- La CISA ajoute la CVE-2025-53521 (CVSS 9.3) à son catalogue KEV après confirmation d'exploitation active sur F5 BIG-IP APM.
- Initialement classée comme déni de service, la faille a été reclassifiée en exécution de code à distance (RCE) pré-authentification.
- Les agences fédérales américaines ont jusqu'au 30 mars 2026 pour appliquer le correctif. Toute organisation utilisant BIG-IP APM doit agir immédiatement.
Ce qui s'est passé
Le 28 mars 2026, la Cybersecurity and Infrastructure Security Agency (CISA) a ajouté la vulnérabilité CVE-2025-53521 à son catalogue des vulnérabilités exploitées connues (KEV). Cette faille critique touche F5 BIG-IP Access Policy Manager (APM), un composant réseau largement déployé dans les grandes entreprises et administrations pour gérer les accès VPN et les politiques d'authentification.
La vulnérabilité avait été initialement publiée par F5 comme un simple problème de déni de service. Cependant, de nouvelles informations obtenues en mars 2026 ont conduit F5 à reclassifier la faille en exécution de code à distance (RCE) avec un score CVSS v4 de 9.3. Selon les rapports de The Hacker News, lorsqu'une politique d'accès APM est configurée sur un serveur virtuel, un trafic malveillant spécifique permet à un attaquant d'exécuter du code arbitraire sans authentification préalable.
Des activités de scan intensif ciblant les équipements F5 BIG-IP vulnérables ont été détectées immédiatement après l'ajout au catalogue KEV, selon plusieurs sources de threat intelligence. Cette situation rappelle les attaques récentes sur Cisco FMC et la faille critique Citrix NetScaler, confirmant une tendance lourde d'exploitation des équipements réseau périmétrique.
Pourquoi c'est important
F5 BIG-IP est un pilier de l'infrastructure réseau de milliers d'organisations dans le monde, des banques aux hôpitaux en passant par les administrations. Une RCE pré-authentification sur ce type d'équipement donne à un attaquant un point d'entrée direct dans le réseau interne, sans nécessiter de credentials. Comme le souligne le rapport Mandiant M-Trends 2026, le temps entre l'accès initial et le mouvement latéral ne cesse de se réduire.
La reclassification de DoS vers RCE est particulièrement préoccupante : elle signifie que des organisations ayant évalué le risque comme modéré lors de la publication initiale sont en réalité exposées à une compromission complète. L'ANSSI a déjà alerté sur la recrudescence des attaques ciblant les équipements périmétriques en 2026.
Ce qu'il faut retenir
- Vérifiez immédiatement si vos instances F5 BIG-IP APM utilisent une version vulnérable et appliquez le correctif F5 sans délai.
- Recherchez des indicateurs de compromission : les attaquants exploitent cette faille depuis plusieurs jours avant l'ajout au KEV.
- Réévaluez systématiquement les vulnérabilités initialement classées DoS — la reclassification en RCE peut survenir à tout moment.
Mon organisation utilise F5 BIG-IP, suis-je forcément vulnérable ?
Non, seules les instances avec une politique d'accès APM configurée sur un serveur virtuel sont affectées. Vérifiez votre configuration APM et consultez l'advisory F5 pour identifier les versions concernées. Si vous n'utilisez pas le module APM, vous n'êtes pas exposé à cette faille spécifique.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est un expert senior en cybersécurité offensive et intelligence artificielle avec plus de 20 ans d'expérience. Spécialisé en rétro-ingénierie, forensics numériques et développement de modèles IA, il accompagne les organisations dans la sécurisation d'infrastructures critiques.
Expert judiciaire et conférencier reconnu, il intervient auprès des plus grandes organisations françaises et européennes. Ses domaines couvrent l'audit Active Directory, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares et l'IA générative (RAG, LLM).
Ressources & Outils de l'auteur
Articles connexes
Crunchyroll piraté : 6,8 millions de comptes compromis
Un pirate exploite un compte Okta d'un sous-traitant pour voler 6,8 millions de dossiers utilisateurs Crunchyroll via Zendesk. Rançon de 5 millions de dollars exigée.
TeamPCP piège le SDK Telnyx sur PyPI via stéganographie WAV
TeamPCP compromet le SDK Python Telnyx sur PyPI en dissimulant un stealer dans un fichier WAV par stéganographie. Les versions 4.87.1 et 4.87.2 sont malveillantes.
BlackCat : deux experts cybersécurité plaident coupable
Deux professionnels de la cybersécurité américains plaident coupable pour avoir opéré comme affiliés du ransomware BlackCat/ALPHV, causant 9,5M$ de pertes.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire