F5 BIG-IP: Kritische Lücke bedroht Tausende Unternehmen weltweit

Mehr als 14.000 Systeme sind ungeschützt gegen eine neu bewertete Sicherheitslücke, die Angreifern vollen Zugriff ermöglicht. Die als CVE-2025-53521 bekannte Schwachstelle in F5 BIG-IP Access Policy Managern wurde kürzlich von einem vermeintlichen Dienstblockade-Problem zu einer kritischen Fernzugriffslücke hochgestuft. Seitdem nutzen hochgerüstete Hacker sie aktiv aus, wie US-Behörden und Sicherheitsforscher diese Woche bestätigten. Die Lage spitzt sich zu: Neue Daten zeigen, dass Tausende Organisationen weltweit den dringend benötigten Patch noch nicht installiert haben.

Vom Störfaktor zur Systemübernahme

Die Krise hat ihren Ursprung in einer Schwachstelle, die bereits im Oktober 2025 bekannt wurde. Damals stuften F5 und Sicherheitsexperten das Problem als hochkritisch für die Dienstverfügbarkeit ein. Doch Ende März 2026 kam die brisante Wende: Nach forensischen Untersuchungen mehrerer Netzwerkangriffe korrigierte der Hersteller seine Einschätzung drastisch.

Während kritische Infrastrukturen im Visier von Profi-Hackern stehen, rücken auch kleine und mittelständische Unternehmen zunehmend in den Fokus von Cyberkriminellen. Ein kostenloses E-Book zeigt, welche neuen Bedrohungen aktuell auf Firmen zukommen – und wie Sie sich ohne großes Budget effektiv schützen. IT-Sicherheits-Report für Unternehmen jetzt gratis herunterladen

Aus dem Denial-of-Service-Problem wurde eine kritische Remote-Code-Execution-Lücke mit einem CVSS-Score von 9,8. Der Grund: Unauthentifizierte Angreifer können speziell präparierten Datenverkehr an virtuelle Server mit dem BIG-IP APM-Modul senden. Dies ermöglicht es ihnen, Sicherheitskontrollen zu umgehen und beliebige Befehle mit Root-Rechten auf dem darunterliegenden System auszuführen. Diese Neubewertung unterstreicht einen besorgniserregenden Trend: Anfangs als "störend" eingestufte Fehler entpuppen sich später oft als Einfallstor für die vollständige Übernahme von Unternehminstagestruktur.

Aktive Angriffe und globale Bedrohung

Die Dringlichkeit wird durch Beweise für eine aktive, weit verbreitete Ausnutzung der Lücke verstärkt. Die US-Cybersicherheitsbehörde CISA nahm CVE-2025-53521 Ende März in ihren Katalog bekannter, ausgenutzter Schwachstellen auf – ein deutliches Signal, dass Angreifer die Lücke erfolgreich in echten Attacken nutzen. Für US-Bundesbehörden setzte CISA eine Frist zur Behebung bis zum 30. März.

Die Dimension des Problems zeigt ein aktueller Scan der Shadowserver Foundation: Von über 17.100 identifizierten BIG-IP APM-Instanzen waren am 2. April mindestens 14.000 ungepatcht und verwundbar. Angreifer zielen gezielt auf die REST-API-Schnittstellen der Geräte ab, um verwundbare Ziele zu identifizieren. Geheimdienstberichte deuten zudem darauf hin, dass einige der Angriffe auf hochsophistizierte, staatlich unterstützte Gruppen zurückgehen. Diese sollen sich teils seit Monaten in kompromittierten Netzwerken halten, indem sie spezielle Schadsoftware installieren.

Technische Details und betroffene Versionen

Die Schwachstelle liegt im apmd-Prozess, der den Live-Datenverkehr im BIG-IP Access Policy Manager verarbeitet. Sie ist nur erreichbar, wenn eine Zugriffsrichtlinie aktiv konfiguriert und an einen virtuellen Server gebunden ist. Systeme mit APM-Lizenz, aber ohne aktives Zugriffsprofil, gelten als nicht gefährdet. Für die meisten Unternehmensnutzer ist jedoch genau diese kritische Konfiguration der Normalfall.

Betroffen sind mehrere Hauptversionen der BIG-IP-Software:
* Versionen 17.5.0 bis 17.5.1
* Versionen 17.1.0 bis 17.1.2
* Versionen 16.1.0 bis 16.1.6
* Versionen 15.1.0 bis 15.1.10

Auch Systeme im abgesicherten "Appliance Mode" bleiben verwundbar. Da für die Ausnutzung keine gültigen Anmeldedaten nötig sind, ist die Lücke besonders attraktiv für automatisierte Scan-Bots und Ransomware-Betreiber.

Behebung wird zur forensischen Herausforderung

Die Lösung scheint einfach: Patches einspielen. F5 hat gefixte Versionen für alle betroffenen Zweige veröffentlicht. Doch das allein reicht oft nicht aus. Die Updates schließen zwar das Loch, beseitigen aber keine bereits erfolgten Kompromittierungen. F5 und das britische National Cyber Security Centre (NCSC) raten daher zu gründlichen forensischen Untersuchungen für alle Systeme, die dem Internet ausgesetzt waren.

Besonders heikel ist die Entdeckung einer hartnäckigen Schadsoftware, die in einigen Berichten als c05d5254 identifiziert wird. Sie überlebt Neustarts und kann sogar bestimmte Update-Prozesse überdauern. F5 warnt davor, im Verdachtsfall Konfigurationen aus alten Backups wiederherzustellen, da diese die Schadsoftware enthalten könnten. Stattdessen empfiehlt der Hersteller, kompromittierte Systeme komplett neu aufzusetzen. Warnsignale für einen Angriff sind ungewöhnliche Dateien wie /run/bigtlog.pipe oder unbefugte Versuche, das SELinux-Sicherheitsmodul über die REST-API zu deaktivieren.

Nicht nur Server-Infrastrukturen, sondern auch gezielte Manipulationen von Mitarbeitern führen immer häufiger zu Rekord-Schäden durch Phishing. Experten erklären in diesem kostenlosen Anti-Phishing-Paket, wie sich Ihr Unternehmen durch gezielte Awareness-Strategien proaktiv vor Hacker-Angriffen absichern kann. Kostenlosen Leitfaden zur Hacker-Abwehr sichern

Systemisches Risiko: Das Patchen kommt zu spät

Die über 14.000 ungeschützten F5-Instanzen offenbaren ein grundlegendes Problem der Unternehmenssicherheit: die Patchen-Lücke bei kritischer Infrastruktur. F5 BIG-IP-Geräte stehen oft am Rand des Netzwerks und kontrollieren den Zugang zu sensiblen Anwendungen. Eine Schwachstelle dieser Größenordnung ist vergleichbar mit früheren kritischen Lücken in Citrix NetScaler oder Ivanti VPNs.

Experten vermuten, dass die ursprüngliche Einstufung als Dienstblockade-Problem viele IT-Teams in die Irre führte. Sie stuften die Behebung zugunsten anderer "kritischer" Lücken herab. Dies zeigt ein systemisches Risiko im Schwachstellenmanagement: Die Gefahrenklasse eines Fehlers kann sich ändern, je länger Forscher den Exploit-Code analysieren. Hinzu kommt die Komplexität von F5-Umgebungen, die Administratoren oft zögern lässt, Kernnetzwerkgeräte außerhalb geplanter Wartungsfenster zu aktualisieren – ein gefundenes Fressen für Angreifer.

Was jetzt zu tun ist

Die akute Gefahr bleibt hoch. Die Cybersicherheits-Community rechnet mit einer weiteren Welle von Angriffen, da immer mehr Bedrohungsakteure den Exploit in ihre Werkzeugkästen aufnehmen. Für viele internetzugängliche Systeme ist das Fenster für präventives Patchen wahrscheinlich bereits geschlossen.

Organisationen, die ihre BIG-IP-Installationen noch nicht überprüft haben, sollten dies umgehend nachholen. Der Vorfall dürfte langfristig die Diskussion darüber befeuern, wie Hersteller und Forscher die Risiken von anfänglich "nur" störenden Schwachstellen kommunizieren – besonders bei Produkten, die für Authentifizierung und Zugriffskontrolle zuständig sind. In den kommenden Wochen werden weitere Berichte von Threat-Intelligence-Firmen voraussichtlich mehr Licht auf die hinter den Angriffen stehenden Gruppen werfen.

boerse | 69056194 |