F5 BIG-IP APM: Ein alter DoS-Patch kehrt als RCE zurück

F5 stuft CVE-2025-53521 von DoS auf RCE hoch, Angreifer hatten Zugang zum Quellcode. Die dringendste Frage für Admins: Sind BIG-IP-APM-Instanzen direkt aus dem Internet erreichbar?

27. Mai 2026 um 13:30 Uhr / Ein Ratgebertext von Steffen Zahn

Kommentare Auf Google folgen (öffnet im neuen Fenster)

Im März 2026 stufte F5 CVE-2025-53521 auf Remote Code Execution hoch. (Bild: F5) — Im März 2026 stufte F5 CVE-2025-53521 auf Remote Code Execution hoch. Bild: F5

Im Oktober 2025 hat F5 einen Denial-of-Service-Bug im BIG-IP Access Policy Manager gepatcht. Bewertet mit 7.5 nach CVSS v3.1 (Common Vulnerability Scoring System) und 8.7 nach v4.0, betroffen war der apmd-Prozess, der Live-Traffic verarbeitet. Admins spielten den Patch ein und hakten das Ticket ab. Im März 2026 korrigierte F5 die Einstufung. CVE-2025-53521 wurde auf Remote Code Execution hochgestuft, CVSS 9.8 nach v3.1, CVSS 9.3 nach v4.0 – also ohne Authentifizierung ausnutzbar, direkt aus dem Netz, keine User-Interaction nötig(öffnet im neuen Fenster).

Die US-Behörde Cybersecurity and Infrastructure Security Agency (Cisa) nahm die Schwachstelle am 27. März in den Known Exploited Vulnerabilities Katalog auf und gab US-Bundesbehörden 72 Stunden zum Patchen. Shadowserver zählte zu diesem Zeitpunkt mehr als 14.000 F5 BIG-IP-APM-Instanzen, die direkt aus dem Internet erreichbar waren(öffnet im neuen Fenster). Admins sollten gegebenenfalls den Zugang zu BIG-IP-APM-Instanzen einschränken, den Patch-Stand prüfen und updaten.

Zur Startseite Kommentare