Một lỗ hổng CVE bảo mật nghiêm trọng trong sản phẩm F5 BIG-IP Access Policy Manager (APM) hiện đang bị khai thác tích cực, đặt hàng ngàn mạng lưới doanh nghiệp vào nguy cơ cao. Sự tồn tại của lỗ hổng CVE này đòi hỏi các biện pháp khắc phục khẩn cấp để ngăn chặn các cuộc tấn công mạng quy mô lớn.
CVE-2025-53521: Từ DoS đến Remote Code Execution
Lỗ hổng này, được định danh chính thức là CVE-2025-53521, đã gây ra các cảnh báo khẩn cấp trong cộng đồng an ninh mạng sau khi mức độ ảnh hưởng của nó được nâng cấp đáng kể. Ban đầu, lỗ hổng CVE-2025-53521 chỉ được phân loại là một vấn đề Denial-of-Service (DoS), thường được coi là có mức độ ưu tiên thấp hơn trong quản lý bản vá.
Tuy nhiên, các nhà nghiên cứu bảo mật đã phát hiện khả năng khai thác biến nó thành một lỗ hổng thực thi mã từ xa (Remote Code Execution – RCE) nghiêm trọng. Sự chuyển đổi này từ DoS sang RCE đã làm thay đổi hoàn toàn mức độ rủi ro, đẩy lỗ hổng CVE này lên hàng đầu trong danh sách các mối đe dọa cần được xử lý ngay.
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã phản ứng bằng cách bổ sung lỗ hổng CVE-2025-53521 vào Danh mục các lỗ hổng đã biết đang bị khai thác (KEV). Điều này yêu cầu các cơ quan và tổ chức liên bang phải khắc phục lỗ hổng ngay lập tức, nhấn mạnh tính cấp bách của tình hình.
Quy mô tiếp xúc và rủi ro toàn cầu từ lỗ hổng CVE
Dữ liệu từ The Shadowserver Foundation tiết lộ một bề mặt tấn công khổng lồ, cho thấy quy mô nghiêm trọng của lỗ hổng CVE này. Cụ thể, vào ngày 31 tháng 3 năm 2026, các nhà nghiên cứu đã xác định được hơn 17.100 phiên bản F5 BIG-IP APM bị phơi nhiễm trên toàn cầu.
Mặc dù một số tổ chức đã bắt đầu áp dụng các bản vá cần thiết, con số đáng báo động là hơn 14.000 hệ thống vẫn hoàn toàn tiếp xúc với internet công cộng. Điều này tạo ra một cửa ngõ rộng lớn cho các tác nhân đe dọa muốn khai thác lỗ hổng CVE.
Theo bản đồ nhận dạng thiết bị của Shadowserver, Hoa Kỳ và Nhật Bản hiện là hai quốc gia có mật độ cao nhất các phiên bản dễ bị tổn thương. Đây là thông tin quan trọng giúp các tổ chức tại những khu vực này ưu tiên các biện pháp bảo mật.
Thông tin chi tiết về số liệu phơi nhiễm và bản đồ thiết bị có thể được tìm thấy tại Bảng điều khiển Thống kê IoT của Shadowserver.
Tác động nghiêm trọng của khai thác Remote Code Execution
Do F5 BIG-IP APM đóng vai trò là cổng bảo mật trọng yếu để truy cập các ứng dụng và tài nguyên doanh nghiệp, một sự thỏa hiệp thành công có thể dẫn đến hậu quả thảm khốc. Kẻ tấn công có thể vượt qua các vành đai bảo vệ bên ngoài của công ty, xâm nhập trực tiếp vào các mạng nội bộ vốn được bảo vệ nghiêm ngặt.
Việc khai thác lỗ hổng remote code execution này cho phép kẻ tấn công chiếm toàn quyền kiểm soát thiết bị F5 bị ảnh hưởng. Từ đó, chúng có thể thực hiện nhiều hành vi độc hại, bao gồm:
- Đánh cắp dữ liệu nhạy cảm: Truy cập và trích xuất thông tin bí mật của công ty hoặc dữ liệu cá nhân của người dùng.
- Triển khai mã độc tống tiền (ransomware): Mã hóa dữ liệu trên các hệ thống nội bộ và yêu cầu tiền chuộc.
- Thiết lập sự tồn tại lâu dài trong mạng: Tạo các backdoor hoặc tài khoản trái phép để duy trì quyền truy cập vào mạng trong thời gian dài mà không bị phát hiện.
- Sử dụng làm bàn đạp tấn công khác: Biến thiết bị F5 thành điểm xuất phát cho các cuộc tấn công tiếp theo vào các hệ thống khác trong mạng.
Những tác động này nhấn mạnh mức độ rủi ro cao khi một lỗ hổng CVE như thế này bị khai thác.
Nguyên nhân lỗ hổng lan rộng và yêu cầu bản vá bảo mật khẩn cấp
Lý do chính cho sự phơi nhiễm rộng rãi này bắt nguồn từ phân loại ban đầu của lỗ hổng. Khi F5 lần đầu tiên công bố CVE-2025-53521, nó chỉ được xếp hạng nghiêm ngặt là một vấn đề DoS, với mức độ nghiêm trọng thấp hơn so với RCE.
Trong nhiều môi trường doanh nghiệp, các lỗ hổng DoS thường được ưu tiên thấp hơn trong chu trình quản lý bản vá so với các mối đe dọa xâm nhập trực tiếp hoặc remote code execution. Điều này khiến nhiều đội ngũ IT có thể đã bỏ qua việc áp dụng bản vá bảo mật cho lỗ hổng này trong giai đoạn đầu.
Theo ghi nhận của các nhà nghiên cứu bảo mật tại VulnTracker, nhiều đội ngũ IT có thể đã bỏ qua bản vá bảo mật này lần đầu để ưu tiên các cảnh báo bảo mật khác được coi là cấp bách hơn. Giờ đây, khi các tác nhân đe dọa đã khám phá cách vũ khí hóa lỗ hổng này để thực thi mã từ xa tùy ý, những bản vá bị trì hoãn đã trở thành một trách nhiệm pháp lý và rủi ro bảo mật nghiêm trọng.
Các bước hành động khẩn cấp và bản vá bảo mật
Các tổ chức đang vận hành dịch vụ F5 BIG-IP APM phải coi việc xử lý lỗ hổng CVE-2025-53521 là một sự kiện cực kỳ quan trọng, yêu cầu vá lỗi ngay lập tức. Các đội ngũ bảo mật nên thực hiện các bước sau để giảm thiểu rủi ro:
- Kiểm tra và xác định thiết bị: Xác định tất cả các phiên bản F5 BIG-IP APM đang hoạt động trong mạng lưới và xác minh phiên bản phần mềm hiện tại.
- Áp dụng bản vá bảo mật mới nhất: Ngay lập tức triển khai các bản cập nhật và bản vá bảo mật được F5 phát hành để khắc phục triệt để lỗ hổng CVE này. Ưu tiên các hệ thống đang tiếp xúc trực tiếp với internet.
- Tăng cường giám sát mạng và hệ thống: Thiết lập và tăng cường giám sát lưu lượng mạng, nhật ký hệ thống, và các hoạt động của thiết bị F5 BIG-IP APM để phát hiện kịp thời các dấu hiệu xâm nhập, hành vi bất thường hoặc nỗ lực khai thác remote code execution.
- Phân đoạn mạng hiệu quả: Đảm bảo các thiết bị F5 BIG-IP APM được phân đoạn mạng một cách phù hợp, hạn chế tối đa quyền truy cập từ các khu vực không cần thiết và giảm thiểu khả năng lây lan nếu xảy ra thỏa hiệp.
- Đánh giá rủi ro định kỳ và kiểm tra an ninh: Thực hiện đánh giá rủi ro bảo mật định kỳ và các cuộc kiểm tra an ninh (penetration testing) để hiểu rõ hơn về các điểm yếu tiềm ẩn và ưu tiên các biện pháp giảm thiểu, đặc biệt đối với các lỗ hổng CVE đã biết.
Sự leo thang nhanh chóng của lỗ hổng CVE-2025-53521 từ một vấn đề DoS có thể quản lý được thành một lỗ hổng RCE đang bị khai thác tích cực là một lời nhắc nhở rõ ràng về tính biến động của bối cảnh mối đe dọa hiện đại. Phản ứng nhanh nhạy và việc áp dụng các bản vá bảo mật kịp thời là chìa khóa để bảo vệ hệ thống trước các mối đe dọa ngày càng tinh vi.
