F5가 BIG-IP APM 취약점을 DoS에서 RCE로 재분류하며, Shadowserver가 24만 개 이상의 노출 인스턴스를 추적하고 있다

Context

F5 BIG-IP APM은 네트워크, 클라우드, 애플리케이션, API에 대한 사용자 접근을 관리하는 중앙 집중식 액세스 관리 프록시 솔루션이다. 기존 CVE-2025-53521은 서비스 거부 취약점으로 분류되었으나, 2026년 3월 새로운 정보 확인 후 원격 코드 실행 취약점으로 재분류되었다. 공격자는 권한 없이도 가상 서버의 액세스 정책이 구성된 시스템을 겨냥해 웹셸을 배포할 수 있다.

Technical Solution

• F5 → 수정 버전 배포 및 기존 패치의 RCE有效性 확인
• F5 → IOC(indicators of compromise) 공개 및 악성 활동 징후 점검 가이드 제공
• CISA → 활동 중 악용 취약점 목록에 추가 및 연방 기관 패치 마감일(3월 30일 자정) 지정
• 관리자 → 디스크, 로그, 터미널 히스토리에서 웹셸 및 악성 활동痕跡 확인
• 관리자 → 조직 보안 정책에 따른 증거 수집 및 포렌식 절차 준수

Impact

Shadowserver 기준 240,000개 이상의 BIG-IP 인스턴스가 온라인에 노출되어 있다.

Key Takeaway

취약점 분류는 공격 패턴 확인 결과에 따라 상향 조정될 수 있으므로, 초기 낮은 심각도 부여에도 지속적인 모니터링이 필요하다.