BIG-IP APM 脆弱性 CVE-2025-53521|RCE 再分類と侵害確認の手順

  • URLをコピーしました!
目次

はじめに

エンタープライズネットワークの境界防御やリモートアクセス基盤として広く導入されている F5 の BIG-IP APM(Access Policy Manager)において、極めて深刻なリモートコード実行(RCE)の脆弱性(CVE-2025-53521)が確認されました。

本脆弱性は、2025 年 10 月の初回公開時には DoS(サービス拒否、CVSS 7.5)として分類されていましたが、2026 年 3 月に得られた新たな情報に基づき、CVSS スコア 9.8(v3.1)/9.3(v4.0)の認証不要 RCE へと再分類されました。米国 CISA も 2026 年 3 月 27 日に本脆弱性を Known Exploited Vulnerabilities(KEV)カタログへ追加し、連邦機関に対して 3 月 30 日までの対応を命令しています。Shadowserver Foundation の観測では、2026 年 3 月 31 日時点で世界 17,100 以上の BIG-IP APM インスタンスがインターネットに露出しており、そのうち日本は米国に次いで脆弱なインスタンスが集中している国の一つとされています。

参考: CISA Known Exploited Vulnerabilities Catalog: CVE-2025-53521
“Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.”
(ベンダーの指示に従って緩和策を適用すること、クラウドサービスについては適用される BOD 22-01 のガイダンスに従うこと、または緩和策が利用できない場合は当該製品の使用を中止すること。)
https://www.cisa.gov/known-exploited-vulnerabilities-catalog

本記事では、この脆弱性が RCE へ格上げされた背景と影響範囲を客観的に整理し、実環境における侵害の痕跡(IoC)の具体的な確認手法、運用現場でのパッチ適用戦略、および WAF 等を用いた一時的な緩和策について解説します。

この記事でわかること
  • BIG-IP APM 脆弱性(CVE-2025-53521)が RCE へ再分類された背景と影響を受けるバージョンの全体像
  • F5 公式 IoC(K000160486)に基づく具体的なファイルパス・プロセスの確認観点
  • HA 構成を活用した安全なパッチ適用戦略と、侵害が疑われる場合の構成再構築アプローチ
  • WAF や外部ファイアウォールを活用したパッチ適用前の暫定的な緩和策

BIG-IP APM 脆弱性(CVE-2025-53521)の概要と RCE への格上げ

この脆弱性(CVE-2025-53521)の最大の特徴は、一度 DoS として分類された過去の脆弱性が、新たな攻撃手法の発見と実環境での悪用観測により、致命的な認証不要 RCE(Pre-Authentication Remote Code Execution)として再評価された点にあります。

DoS から CVSS 9.8 のリモートコード実行へ再分類された背景

当初はシステムの処理リソースを枯渇させる DoS 脆弱性として認識されていましたが、2026 年 3 月の詳細な調査の結果、認証されていない攻撃者がデータプレーンを通じて細工したトラフィックを送信することで、BIG-IP システム上で任意のコードをルート権限で実行できることが判明しました。CVSS v3.1 ベクターは AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H であり、ネットワーク経由・低複雑度・認証不要という最も悪用されやすい条件が揃っています。メーカーである F5 のアドバイザリでは、すでにこの脆弱性を悪用した攻撃が確認されていると明記されています。

参考: K000156741: BIG-IP APM vulnerability CVE-2025-53521
“Due to new information obtained in March 2026, the original vulnerability is being re-categorized to an RCE with CVSS scores of 9.8 (CVSS v3.1) and 9.3 (CVSS v4.0). The original CVE remediation has been validated to address the RCE in the fixed versions. We have learned that this vulnerability has been exploited in the vulnerable BIG-IP versions.”
(2026 年 3 月に得られた新たな情報により、元の脆弱性は CVSS スコア 9.8(CVSS v3.1)および 9.3(CVSS v4.0)の RCE に再分類されます。元の CVE の修正は、修正済みバージョンにおいて RCE への対応として有効であることが確認されています。脆弱な BIG-IP バージョンにおいて、本脆弱性が悪用されていることを確認しています。)
https://my.f5.com/manage/s/article/K000156741

影響を受けるバージョンと攻撃成立の前提条件

脆弱性の影響を受けるのは、仮想サーバー上に BIG-IP APM のアクセスポリシーが設定されている環境です。コントロールプレーンへの直接的な露出はありませんが、Appliance モードで稼働しているシステムも影響を受け、ライブトラフィックを処理する apmd プロセスが標的となります。一方で、BIG-IP Next、NGINX、F5 AI Gateway などの新世代製品ラインは本脆弱性の影響を受けないとされています。

影響を受けるバージョンと修正済みバージョンの対応関係は以下の通りです。

製品系統影響を受けるバージョン修正済みバージョン
BIG-IP APM 17.5 系17.5.0 – 17.5.117.5.1.3
BIG-IP APM 17.1 系17.1.0 – 17.1.217.1.3
BIG-IP APM 16.1 系16.1.0 – 16.1.616.1.6.1
BIG-IP APM 15.1 系15.1.0 – 15.1.1015.1.10.8

なお、技術サポート終了(EoTS: End of Technical Support)に達したバージョンは F5 の評価対象外であり、修正バージョンも提供されません。EoTS バージョンを継続運用している環境では、サポート対象バージョンへの移行計画の検討を推奨します。自社環境が影響対象のバージョンで稼働しており、かつ APM のアクセスポリシーが仮想サーバーに紐付いている場合は、速やかに侵害の痕跡を確認した上で、修正済みバージョンへのアップデートを計画することが推奨されます。

攻撃の TTPs と F5 サプライチェーン侵害の関連

本脆弱性が単なる「DoS から RCE への再分類」にとどまらず、極めて深刻な脅威として扱われている背景には、2025 年 10 月に F5 自身が公表したサプライチェーン侵害との関連があります。CVE-2025-53521 を理解するうえで、この背景と観測されている攻撃手法(TTPs)を整理しておくことが、自社環境の脅威評価に有用です。

F5 ネットワーク侵害との関連と国家アクターの関与

CVE-2025-53521 の初回公開(2025 年 10 月 15 日)は、F5 が自社ネットワークへの侵害を公表したタイミングと一致しています。F5 によれば、高度に洗練された国家アクターが F5 のネットワークに 1 年以上にわたって侵入し、BIG-IP のソースコードと未公開の脆弱性情報にアクセスしていたことが判明しました。後の報道では、この攻撃者は中国に拠点を置くグループに関連付けられており、Brickstorm と呼ばれるバックドアを F5 顧客のシステム上に展開していた可能性も指摘されています。

参考: K000154696: F5 Security Incident
https://my.f5.com/manage/s/article/K000154696

つまり CVE-2025-53521 は、攻撃者が事前にソースコードと未公開脆弱性情報を入手していた可能性のある状態で公開された脆弱性であり、通常の脆弱性公開とは前提条件が大きく異なります。DoS として公開された時点で攻撃者側はすでに RCE への悪用手法を保持していた可能性があり、2026 年 3 月の再分類は実害が顕在化したことを受けた追認的なアップデートとも解釈できます。

CVE-2025-53521 を悪用した実際の攻撃手法(TTPs)

F5 が IoC ドキュメント K000160486 で「悪意あるソフトウェア c05d5254」として追跡している攻撃キャンペーンでは、以下のような攻撃後の挙動(Post-Exploitation TTPs)が観測されています。

メモリ常駐型 webshell の展開

ディスク上には痕跡を残さず、メモリ上でのみ動作する webshell が確認されている。

SELinux の無効化

BIG-IP の OS レイヤーに実装されている強制アクセス制御を解除し、後続の攻撃の自由度を上げている。

sys-eicheck の改ざん

BIG-IP の整合性チェックツール自体を改ざんし、システム監査機構の信頼性を破壊している。

両パーティション間の非対称な改ざん

実行中のパーティションのみ改ざんし、アップグレード先パーティションには手を加えないことで、単純なバージョンアップでの検知を回避している。

システムバイナリの差し替え

/usr/bin/umount/usr/sbin/httpd といった頻繁に呼び出されるバイナリを改ざんし、永続化を実現している。

これらの TTPs は、侵害された BIG-IP からマルウェアを完全に除去することが極めて困難であることを示しています。F5 が UCS ファイルからの設定復元ではなくクリーンインストールを推奨しているのも、こうした永続化手法に対抗するためです。

CVE-2025-53521 の経緯を時系列で整理

本脆弱性の重大性は、公開から再分類までの 5 か月という期間にも表れています。経緯を整理すると以下の通りです。

日付出来事
2025/10/15F5 がネットワーク侵害を公表(K000154696)。同日 CVE-2025-53521 を DoS(CVSS 7.5)として公開、初回パッチ提供
2025/10/15CISA が F5 関連製品に対する緊急指令(Emergency Directive)を発出
2026/02F5 が追加パッチを提供(四半期セキュリティ通知)
2026/03/27本脆弱性を CVSS 9.8 の RCE へ再分類、IoC ドキュメント K000160486 を公開
2026/03/27CISA が KEV カタログへ追加、連邦機関に 3 月 30 日までの対応を命令
2026/03/31Shadowserver が世界 17,100 以上の BIG-IP APM 露出を確認、うち 14,000 以上が脆弱
2026/04/01各国 CSIRT(英国 NCSC、カナダ CCCS 等)が相次いで注意喚起を発出

参考: CISA Adds One Known Exploited Vulnerability to Catalog
“These types of vulnerabilities are frequent attack vectors for malicious cyber actors and pose significant risks to the federal enterprise.”
(この種の脆弱性は悪意あるサイバーアクターによる頻繁な攻撃ベクトルであり、連邦組織に対して重大なリスクをもたらします。)
https://www.cisa.gov/news-events/alerts

この時系列が示すのは、2025 年 10 月の段階でパッチを適用していた組織は侵害を回避できた可能性が高い一方、DoS という分類を理由にパッチ適用を後回しにしていた組織は、5 か月間にわたって RCE 攻撃に晒され続けた可能性があるという事実です。脆弱性の分類(DoS/RCE)を待たず、認証境界に位置する機器の脆弱性は公開時点で優先的に対応する運用判断の重要性を示唆する事例と言えます。

実環境における侵害の痕跡(IoC)確認とログ分析

今回の脆弱性(CVE-2025-53521)はすでに悪用が確認されているため、パッチを適用する前に、まずは自社の BIG-IP APM 環境が侵害されていないかを確認する初動対応が重要です。F5 は侵害の痕跡をまとめた専用ドキュメント K000160486 を 2026 年 3 月 27 日に公開しており、これに記載された「悪意あるソフトウェア c05d5254」の挙動を起点に調査することが推奨されます。

参考: K000156741: BIG-IP APM vulnerability CVE-2025-53521
“We recommend reviewing the K000160486: Indicators of Compromise for c05d5254 in systems that: Were upgraded from a vulnerable version to a fixed version / Are running a vulnerable version”
(脆弱なバージョンから修正済みバージョンにアップグレードされたシステム、または脆弱なバージョンを実行しているシステムにおいて、K000160486: c05d5254 の侵害の痕跡(IoC)を確認することを推奨します。)
https://my.f5.com/manage/s/article/K000156741

パッチ適用済みの環境にも潜むバックドアのリスク

すでに修正済みバージョンへアップデートを完了している環境であっても、安心はできません。アップデートを実施する「前」の段階でシステムが侵害されていた場合、攻撃者によってバックドアが設置されていたり、不正なアカウントが作成されていたりする可能性があります。実際に観測された攻撃事例では、攻撃者が現在稼働中のパーティション(実行中バージョン)には改ざんを加えながら、アップグレード先となる第 2 パーティションには同じ変更を反映していなかったケースが報告されており、単純なアップデートだけでは検知漏れにつながる可能性があります。そのため、現在の稼働バージョンにかかわらず、両パーティションのファイル状態や過去のアクセス履歴を厳密に監査する必要があります。

F5 公式 IoC(K000160486)が示す具体的な確認ポイント

F5 が公開した IoC では、攻撃者が残す具体的なファイルや改ざん箇所が示されています。以下のポイントを確認することが推奨されます。

新規作成される疑わしいファイル

/run/bigtlog.pipe/run/bigstart.ltm の存在有無

改ざんが疑われるシステムバイナリ

/usr/bin/umount/usr/sbin/httpd のハッシュ値検証

SELinux 無効化の痕跡

/var/log/audit/audit.log 内のローカルユーザーによる SELinux モジュール無効化ログ

sys-eicheck の改ざん

BIG-IP の整合性チェックツール sys-eicheck 自体が改ざんされている可能性があるため、既知の正常な状態とのベースライン比較

メモリ常駐型 webshell

F5 はディスクに書き込まれずメモリ上のみで動作する webshell の事例を観測しており、ファイルベースの検査だけでは検知できない点に注意が必要

参考: K000156741: BIG-IP APM vulnerability CVE-2025-53521
“We have observed cases of webshell being written to disk; however, the webshells have been observed to work in memory only, meaning the files listed might not be modified.”
(webshell がディスクに書き込まれたケースも観測していますが、メモリ上のみで動作する webshell も観測されており、リストアップされたファイルが改ざんされていない可能性があります。)
https://my.f5.com/manage/s/article/K000156741

監査ログとシステムログの調査着眼点

BIG-IP の /var/log/audit/var/log/secure/var/log/ltm などのシステムログを確認し、身に覚えのない管理者アカウントの追加や、予期しない IP アドレスからの SSH ログイン成功ログが存在しないかを洗い出します。また、APM のアクセスログ(/var/log/apm)において、通常では見られない不自然なリクエストパラメーターの連続や、apmd プロセスの異常終了(クラッシュ)を示すエラーログが記録されていないかを確認します。tmsh からの稼働状態確認には以下のコマンドが利用できます。

# 現在の稼働バージョンを確認
tmsh show /sys version

# APM プロビジョニング状態の確認
tmsh list /sys provision apm

# 管理者ユーザー一覧の確認
tmsh list /auth user

# 監査ログの直近確認
grep -E "useradd|SELinux|disabled" /var/log/audit/audit.log

参考: K000160486: Indicators of Compromise for c05d5254
https://my.f5.com/manage/s/article/K000160486

万が一、環境内に侵害の痕跡(IoC)が確認された場合は、速やかに該当の BIG-IP をネットワークから隔離し、インシデント対応プロセスへ移行することが推奨されます。あわせて、BIG-IP APM を経由していた VPN 認証情報・SSO トークン・各種証明書のローテーションも検討する必要があります。これらの認証材料は APM が処理過程で平文に近い状態で扱うため、侵害が確認された場合は流出済みと想定するのが安全です。

運用現場でのパッチ適用戦略とロールバック計画

侵害の痕跡が見られなかった場合でも、CVSS 9.8 の脆弱性を放置することは極めて危険であり、速やかに修正済みバージョン(17.5.1.3/17.1.3/16.1.6.1/15.1.10.8)へのアップデートを実施する必要があります。

アップデート実行時の注意点とシステム挙動の監視ポイント

BIG-IP のファームウェアアップデートはシステム全体のリブートを伴うため、HA(High Availability)構成を活用した無停止でのパッチ適用が基本となります。スタンバイ機からアップデートを行い、フェイルオーバーを実施した後にアクティブ機のログ(/var/log/ltm/var/log/apm)を監視し、APM ポリシーが正常にロードされ、ユーザーの認証トラフィックが滞りなく処理されているかを確認します。基本的な手順は以下の流れとなります。

# 作業前: UCS バックアップの取得
tmsh save /sys ucs /var/local/ucs/pre-patch-backup.ucs

# 同期状態の確認
tmsh show /cm sync-status

# スタンバイ機側でアップデート後、フェイルオーバーを実施
tmsh run /sys failover standby

# アップデート後のバージョン確認
tmsh show /sys version

# APM プロセスの正常稼働確認
tmsh show /sys service apmd

作業前には現在の稼働状態を UCS(User Configuration Set)ファイルとしてバックアップし、万が一認証エラーなどの不具合が発生した場合の切り戻し(ロールバック)手順と、判断基準となるタイムリミットを事前に定義しておくことが重要です。

侵害が疑われる場合の構成再構築(クリーンインストール)の重要性

前述の IoC 調査により、すでにシステムが侵害されていることが判明した場合、または侵害された時期が特定できない場合、単なるアップデートや既存の UCS ファイルからの設定復元では不十分です。

参考: K000156741: BIG-IP APM vulnerability CVE-2025-53521
“F5 strongly recommends that you rebuild the configuration from scratch because UCS files from compromised systems can contain persistent malware.”
(侵害されたシステムからの UCS ファイルには永続的なマルウェアが含まれている可能性があるため、F5 は構成をゼロから再構築することを強く推奨します。)
https://my.f5.com/manage/s/article/K000156741

侵害された環境のバックアップ(UCS ファイル)にはマルウェアやバックドアが混入している可能性が高いため、初期状態(クリーンインストール)から安全な BIG-IP バージョンをセットアップし、手動で設定を再構築することが推奨されます。あわせて、当該 BIG-IP が処理していたすべての認証情報・トークン・証明書のローテーションを並行して進めることも検討すべきポイントとなります。

WAF や外部ファイアウォールを活用した多層的な暫定緩和策

メーカーである F5 の公式アドバイザリでは、本脆弱性に対する直接的な緩和策(Mitigation)は存在しないと明記されています。

参考: K000156741: BIG-IP APM vulnerability CVE-2025-53521
“Mitigation: None”
(緩和策: なし)
https://my.f5.com/manage/s/article/K000156741

しかし、実際の運用現場において即座のパッチ適用が困難な場合、システムが直接攻撃に晒される状態を少しでも軽減するための多層的なアプローチ(Defense in Depth)を講じる必要があります。

パッチ適用までの時間を稼ぐためのエッジレベルでのアクセス制御

APM の仮想サーバーがインターネットに直接公開されている場合、脅威にさらされるリスクは最大となります。可能であれば、BIG-IP の前段に設置されている次世代ファイアウォール(NGFW)を利用してアクセス制御を強化することを推奨します。例えば、リモートアクセスを許可するユーザーの接続元が特定の拠点や国内の IP アドレスに限定できる場合、外部のファイアウォールで BIG-IP APM の仮想サーバーに対するアクセス元 IP アドレスを信頼できる範囲のみに厳格に制限することが、攻撃表面(アタックサーフェス)を減らす暫定対策となります。あわせて、BIG-IP の管理 GUI(TMUI)や iControl REST API は専用の管理セグメントからのみアクセスできるよう、インターネット側からの到達を遮断することも推奨されます。

暫定的な緩和策が持つ効果とアーキテクチャ上の限界

前段の WAF(Web Application Firewall)や IPS を活用して異常なトラフィックをドロップすることも一定の効果を見込めます。しかし、APM の性質上、通信は暗号化された SSL/TLS トンネルの中で処理されることが多く、外部のセキュリティ機器でエクスプロイト(攻撃コード)を完全に検知・遮断することはアーキテクチャ上困難です。SSL Deep Inspection 等で TLS 終端しない限り中身の検査ができないため、WAF 側の検知ロジックには本質的な限界があります。恒久的な解決策は修正済みバージョンへのアップデートのみであるため、WAF やアクセス制御による緩和策はあくまでパッチ適用までの時間を稼ぐための暫定対応として位置づけることが重要です。

まとめ

本記事では、BIG-IP APM における極めて深刻な RCE 脆弱性(CVE-2025-53521)の実態と、実運用で取るべき対応策について解説しました。

  • BIG-IP APM の脆弱性(CVE-2025-53521)が 2026 年 3 月に CVSS 9.8 の認証不要 RCE へ再分類された。
  • CISA KEV へ追加され、Shadowserver の観測では世界 17,000 件以上が露出(日本も上位)
  • F5 サプライチェーン侵害との関連が指摘されており、攻撃者は事前に脆弱性情報を入手していた可能性がある。
  • パッチ適用前後にかかわらず IoC(K000160486)の確認が必要で、メモリ常駐 webshell・SELinux 無効化・両パーティション間の非対称改ざんに注意する。
  • 侵害された環境の UCS ファイルから設定を復元してはならず、クリーンインストールから再構築することが推奨される。
  • 修正済みバージョン(17.5.1.3/17.1.3/16.1.6.1/15.1.10.8)への速やかなアップデートと、認証情報のローテーションが恒久対策となる。

以上、最後までお読みいただきありがとうございました。

よかったらシェアしてね!
  • URLをコピーしました!

この記事を書いた人

関西を拠点に活動する、現役インフラエンジニア。経験20年超。

大手通信キャリアにて、中〜大規模インフラ(ネットワーク・サーバ・クラウド・セキュリティ)の設計・構築およびプロジェクトマネジメントに従事。現場で直面した技術課題への対処や、最新の脆弱性情報への実務対応を、一次情報として発信しています。

保有資格
CCIE Lifetime Emeritus(取得から20年以上)/ VCAP-DCA / Azure Solutions Architect Expert

▶ 運営者プロフィール(詳細)

目次