F5 BIG-IP: Kritische Sicherheitslücke wird aktiv ausgenutzt

Eine zunächst unterschätzte Schwachstelle in F5 BIG-IP-Systemen entpuppt sich als kritische Gefahr für Unternehmensnetzwerke weltweit. Aus einer vermeintlichen Störung wurde ein Einfallstor für Hacker.

F5 Networks hat eine Sicherheitslücke in seinem BIG-IP Access Policy Manager (APM) neu bewertet – mit alarmierenden Folgen. Aus einer als hoch eingestuften Störungsanfälligkeit (Denial-of-Service) ist nun eine kritische Lücke für Remote Code Execution (RCE) geworden. Das bedeutet: Angreifer können unerkannt und ohne Anmeldedaten schädlichen Code auf den betroffenen Systemen ausführen. Internationale Behörden wie die US-Cybersicherheitsbehörde CISA und das britische NCSC warnen dringend vor aktiven Angriffen.

Angesichts der kritischen Bedrohungslage durch RCE-Schwachstellen zeigt dieser Experten-Report effektive Strategien auf, wie sich mittelständische Unternehmen gegen Cyberkriminelle wappnen können. Effektive Strategien gegen Cyberangriffe entdecken

Vom Störenfried zum Einbruchswerkzeug: Die Eskalation von CVE-2025-53521

Die Lücke mit der Kennung CVE-2025-53521 war bereits im Oktober 2025 bekannt und gepatcht worden. Damals galt sie als Schwachstelle, die einen Dienstabbruch verursachen konnte, und erhielt einen CVSS-Score von 7,5. Neue forensische Erkenntnisse aus dem März 2026 zeichnen jedoch ein viel bedrohlicheres Bild. F5 stuft die Lücke nun als kritische, vorauthentifizierte RCE-Schwachstelle mit einem Score von 9,8 ein.

Diese Neubewertung zeigt einen besorgniserregenden Trend: Angreifer finden immer wieder neue Wege, bekannte Schwachstellen für weitaus gefährlichere Angriffe zu nutzen. Die Lücke liegt in der Verarbeitung speziell präparierter Datenpakete durch den APM. Da dieses Modul oft als zentrales Gateway für VPN-Zugänge und Authentifizierung dient, können Angreifer damit die gesamte Sicherheitsperimeter umgehen – ein Albtraum für jede IT-Sicherheit.

Root-Zugriff und dauerhafte Hintertüren: So agieren die Angreifer

Die Neubewertung ist keine theoretische Übung. Seit Ende März 2026 beobachten Sicherheitsforscher gezielte Scans und Angriffe auf ungepatchte BIG-IP-Systeme. Die Angreifer installieren eine Schadsoftware mit dem Kürzel c05d5254, die ihnen Root-Rechte auf dem kompromittierten Gerät verschafft.

Das ist besonders verheerend, weil BIG-IP-Geräte oft am Netzwerkrand stehen und als Load-Balancer oder Firewall fungieren. Wer sie kontrolliert, kann sensiblen Datenverkehr abfangen, Anfragen manipulieren und sich tief ins interne Unternehmensnetzwerk vorarbeiten. Die Angreifer hinterlassen zudem Webshells – dauerhafte Hintertüren für spätere Aktionen. Als Indikatoren für einen Kompromittierung gelten ungewöhnliche Dateien wie /run/bigtlog.pipe oder manipulierte Systemwerkzeuge wie /usr/bin/umount.

Betroffene Versionen: Wer muss sofort handeln?

Die kritische Lücke betrifft eine breite Palette von BIG-IP APM-Versionen in den Zweigen 17.x, 16.x und 15.x. Konkret sind folgende Versionen anfällig:
* BIG-IP APM 17.1.0 bis 17.1.2
* BIG-IP APM 17.5.0 bis 17.5.1
* BIG-IP APM 16.1.0 bis 16.1.6
* BIG-IP APM 15.1.0 bis 15.1.10

Die bereits Ende 2025 ausgelieferten Patches schützen auch vor dem RCE-Angriffsszenario. Unternehmen, die auf Versionen wie 17.1.3 oder 16.1.6.1 aktualisiert haben, sind daher geschützt. Doch angesichts der aktiven Angriffe reicht einfaches Patchen möglicherweise nicht mehr aus. Die CISA hat die Lücke in ihren Katalog bekannter, ausgenutzter Schwachstellen aufgenommen und US-Behörden eine Frist bis zum 30. März 2026 gesetzt, die Systeme zu patchen oder vom Netz zu nehmen.

Da Hacker oft psychologische Schwachstellen ausnutzen, um sich Zugang zu Systemen zu verschaffen, bietet dieser Ratgeber eine konkrete 4-Schritte-Anleitung zur erfolgreichen Abwehr solcher Angriffe. Experten-Guide zur Hacker-Abwehr kostenlos sichern

Warum Edge-Geräte im Visier der Hacker liegen

Der Fall unterstreicht die immense Angriffsfläche, die Edge-Infrastruktur modernen Unternehmen bietet. Diese Geräte verarbeiten verschlüsselten Traffic und sind für interne Monitoring-Tools oft eine Arbeit „blinder Fleck“. Während eine DoS-Attacke „nur“ die Verfügbarkeit stört, gefährdet eine RCE-Lücke die gesamte Sicherheitstrias: Vertraulichkeit, Integrität und Verfügbarkeit der Daten.

Für Branchen wie Finanzen, Gesundheitswesen und Behörden, in denen F5-Produkte weit verbreitet sind, birgt ein kompromittiertes Gateway enormes Risiko. Es könnte zu massiven Datenschutzverletzungen und Verstößen gegen Regularien wie die EU-DSGVO oder NIS2 führen.

Nach dem Patch ist vor der Kompromittierung: Was jetzt zu tun ist

Die Priorität für IT-Abteilungen ist klar: Sofort patchen und dann gründlich untersuchen. Sicherheitsexperten warnen: Wurde ein System vor dem Patch angegriffen, könnten Backdoors weiterhin bestehen. F5 rät in unsicheren Fällen sogar dazu, Konfigurationen neu aufzusetzen statt Backups zu restaurieren – diese könnten Schadcode enthalten.

Die Ereignisse sind eine deutliche Mahnung: Selbst als „hoch“ eingestufte Lücken dürfen nie auf die lange Bank geschoben werden. Was heute als Störung gilt, kann morgen zum vollständigen Netzwerkeinbruch werden. Für die Zukunft dürfte der Fokus noch stärker auf Zero-Trust-Architekturen liegen, die nicht blind auf die Sicherheit der Perimeter-Geräte vertrauen. So bleibt das interne Netzwerk resilient – selbst wenn ein Edge-Gerät fällt.

de | boerse | 69046172 |