# CVE-2025-53521 - F5 BIG-IP APM RCE > [!critical] > **CISA KEV confirmado** - prazo federal para remediação: **30 de março de 2026** (amanhã). Ator estado-nação (nexo China) explora ativamente esta vulnerabilidade implantando o backdoor **BRICKSTORM** em dispositivos comprometidos. Avalie exposição e verifique IOCs imediatamente em todos os sistemas F5 acessíveis pela internet. ## Visão Geral O CVE-2025-53521 é uma vulnerabilidade crítica de execução remota de código (RCE) no módulo **F5 BIG-IP Access Policy Manager (APM)**, identificada e adicionada ao catálogo CISA KEV em 27 de março de 2026 após confirmação de exploração ativa por um ator estado-nação com nexo na China. A falha é classificada como CWE-770 (Alocação de Recursos Sem Limites) e afeta o processo **apmd** responsável por processar políticas de acesso nas versões 15.x, 16.x e 17.x do BIG-IP APM. Quando uma política de acesso APM está configurada em um servidor virtual, tráfego malicioso específicamente criado pode terminar o processo **Traffic Management Microkernel (TMM)** e, em casos de exploração completa, resultar em execução remota de código com privilégios de root. A exploração não requer autenticação - qualquer atacante com acesso à rede ao servidor virtual APM pode acionar a vulnerabilidade. O impacto para organizações no [[brasil|Brasil]] e [[latam|América Latina]] é significativo: o F5 BIG-IP é amplamente utilizado como controlador de entrega de aplicações (ADC) em setores [[financial|financeiro]], [[government|governo]] e [[telecommunications|telecomúnicações]], onde o BIG-IP APM gerencia autenticação SSL, controle de acesso e entrega de aplicações críticas. Um dispositivo comprometido oferece ao atacante posição privilegiada na borda da rede para interceptação de credenciais e movimentação lateral ampla. Esta vulnerabilidade deve ser avaliada no contexto mais amplo: em agosto de 2025, um ator estado-nação sofisticado comprometeu a infraestrutura de engenharia interna da F5 Networks, incluindo código-fonte dos produtos BIG-IP, BIG-IQ e F5OS. O CVE-2025-53521 atingir o catálogo KEV é consequência direta desse vazamento - o adversário teve meses para analisar o código e weaponizar vulnerabilidades antes da divulgação pública. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | **CVSS v3.1** | 9.8 CRITICAL | | **CVSS v4.0** | 9.3 CRITICAL | | **Vetor de Ataque** | Rede / Sem Autenticação / Sem Interação | | **CWE** | CWE-770 (Alocação Sem Limites) | | **Componente Afetado** | apmd (processo APM), TMM (Traffic Management Microkernel) | | **Pré-condição** | Política de acesso APM configurada em servidor virtual | | **CISA KEV** | Adicionado 27/03/2026 · Prazo: 30/03/2026 | ### Versões Afetadas | Branch | Versões Vulneráveis | Versão Corrigida | |--------|--------------------|--------------------| | 17.5.x | 17.5.0 – 17.5.1 | 17.5.1.3+ | | 17.1.x | 17.1.0 – 17.1.2 | 17.1.3+ | | 16.1.x | 16.1.0 – 16.1.5 | 16.1.6.1+ | | 15.1.x | 15.1.0 – 15.1.10 | 15.1.10.8+ | > Sistemas em versões End of Technical Support (EoTS) não recebem avaliação nem patch da F5 e devem ser considerados sem proteção. ### Mecânica da Exploração O processo apmd processa políticas de acesso APM sem controle adequado de limites de recursos. Tráfego específicamente criado (cuja natureza exata a F5 não divulgou para evitar facilitação de novos exploits) causa: 1. Esgotamento ou má gestão de recursos no processamento de políticas APM 2. Terminação protetora do processo TMM 3. Em exploração completa: execução de código arbitrário como root A F5 deliberadamente não divulgou a natureza exata do tráfego gatilho, o que limita a capacidade de criar assinaturas de detecção específicas - exigindo abordagens baseadas em comportamento. ## Attack Flow ```mermaid graph TB A["🌐 Reconhecimento<br/>Varredura BIG-IP APM<br/>expostos à internet"] --> B["💥 Exploração<br/>CVE-2025-53521<br/>Tráfego malicioso → TMM crash → RCE root"] B --> C["🔑 Acesso Inicial<br/>Root no BIG-IP APM<br/>Posição privilegiada na borda"] C --> D["🕵️ Persistência<br/>BRICKSTORM backdoor<br/>Modificação de componentes<br/>de integridade do sistema"] D --> E["🔍 Reconhecimento Interno<br/>Interceptação de credenciais<br/>em trânsito via APM"] E --> F["➡️ Movimentação Lateral<br/>Pivô para rede interna<br/>via posição ADC privilegiada"] ``` **Legenda:** [[g0125-silk-typhoon]] · [[t1190-exploit-public-facing-application|T1190]] · [[t1203-exploitation-client-execution|T1203]] · [[t1505-003-web-shell|T1505.003]] · [[t1070-001-indicator-removal|T1070.001]] ## Indicadores de Comprometimento > [!ioc]- IOCs - CVE-2025-53521 / BRICKSTORM (TLP:GREEN) > **Hashes conhecidos:** > `c05d5254` (hash parcial do binário BRICKSTORM - verificar com F5 K000156741) > > **Arquivos suspeitos:** > - Modificações em componentes de integridade do sistema BIG-IP > - Arquivos anômalos em diretórios do apmd > > **Comportamento de rede:** > - Tráfego HTTP/S incomum originado do BIG-IP APM para destinos externos > - Reinicializações inexplicadas do processo TMM > - Conexões de saída anômalas a partir de dispositivos F5 > > **Fontes:** [F5 K000156741](https://my.f5.com/manage/s/article/K000156741) · [F5 K000160486](https://my.f5.com/manage/s/article/K000160486) · [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Mitigação e Resposta ### Ações Imediatas (até 30/03/2026) 1. **Aplicar patches da F5** - versões corrigidas: 17.1.0.4+, 16.1.4.3+ ou 15.1.10.2+ 2. **Verificar IOCs** - checar todos os sistemas F5 acessíveis pela internet por sinais de comprometimento (conforme F5 K000156741 e K000160486) 3. **Restringir exposição** - se o patch não puder ser aplicado antes de 30/03, bloquear no perímetro o acesso externo a servidores virtuais APM 4. **Verificação de integridade pós-patch** - dado o vazamento de código-fonte F5, assumir que o ator pode ter pré-posicionado acesso e realizar varredura completa ### Detecção - Monitorar crashes e reinicializações do processo TMM (logs de sistema e SNMP traps) - Alertar sobre tráfego HTTP/S de saída anômalo originado dos dispositivos BIG-IP - Verificar arquivos de configuração APM e binários do sistema por modificações inesperadas - Implementar detecção comportamental: picos de CPU/memória no TMM correlacionados a tráfego APM sem interação de usuário ### TTPs Mapeados | Técnica | ID | Fase | |---------|-----|------| | Exploração de Aplicação Pública | [[t1190-exploit-public-facing-application\|T1190]] | Initial Access | | Exploit de Execução no Cliente | [[t1203-exploitation-client-execution\|T1203]] | Execution | | Web Shell / Backdoor | [[t1505-003-web-shell\|T1505.003]] | Persistence | | Remoção de Indicadores | [[t1070-001-indicator-removal\|T1070.001]] | Defense Evasion | ## Contexto: Comprometimento da F5 Networks Em agosto de 2025, um ator estado-nação (atribuído com confiança média ao nexo China por múltiplos pesquisadores) comprometeu a infraestrutura de engenharia interna da F5 Networks, obtendo acesso ao código-fonte dos produtos BIG-IP, BIG-IQ e F5OS. A CISA classificou o evento como "ameaça iminente". Implicações para o CVE-2025-53521: - O adversário teve meses para analisar o código-fonte e identificar vulnerabilidades antes da divulgação pública - A velocidade de weaponização é drasticamente reduzida quando o atacante tem acesso ao código-fonte - Organizações com dispositivos F5 não patcheados devem assumir comprometimento potencial O backdoor **BRICKSTORM** implantado nas explorações ativas já foi atribuído em campanhas anteriores a atores com nexo na China - específicamente ao cluster rastreado como [[g0125-silk-typhoon|Silk Typhoon]] por alguns pesquisadores. ## Referências - [NVD - CVE-2025-53521](https://nvd.nist.gov/vuln/detail/CVE-2025-53521) - [CISA KEV - F5 BIG-IP APM](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [F5 Security Advisory K000156741](https://my.f5.com/manage/s/article/K000156741) - [F5 Security Advisory K000160486](https://my.f5.com/manage/s/article/K000160486) - [The Cyber Throne - CISA Adds CVE-2025-53521](https://thecyberthrone.in/2026/03/28/cisa-adds-CVE-2025-53521-f5-big-ip-apm-to-kev/) - [HelpNetSecurity - BIG-IP APM Exploitation](https://www.socdefenders.ai/item/c38e45d5-e370-4655-bd13-71e0cd96b71f) - [Qualys - F5 Nation-State Breach Response](https://blog.qualys.com/vulnerabilities-threat-research/2025/10/17/a-strategic-response-to-the-f5-big-ip-nation-state-breach)