F5 BIG-IP APM RCE Vulnerability Actively Exploited
Summary
CERT-FR issued an alert on March 31, 2026 confirming that CVE-2025-53521, a critical remote code execution vulnerability in F5 BIG-IP Access Policy Manager, is being actively exploited in the wild as of March 29, 2026. The vulnerability affects all modules across versions 15.1.x prior to 15.1.10.8, 16.1.x prior to 16.1.6.1, 17.1.x prior to 17.1.3, and 17.5.x prior to 17.5.1.3. The alert provides detailed compromise indicators including specific file paths (/run/bigtlog.pipe, /run/bigstart.ltm), file hash discrepancies for /usr/bin/umount and /usr/sbin/httpd, and suspicious log entries in /var/log/restjavad-audit and /var/log/audit. CERT-FR recommends organisations conduct compromise assessments using F5's published indicators and apply available patches from F5 security bulletin K000156741.
“Celle-ci affecte BIG-IP APM et permet à un attaquant non authentifié d'exécuter du code à distance.”
Organisations running F5 BIG-IP APM should treat this alert as requiring immediate action: identify all appliances running affected versions (15.1.x-17.5.x), verify current patch status against F5 K000156741, and proactively search for the compromise indicators CERT-FR specifies — particularly the presence of /run/bigtlog.pipe and any iControl REST API calls by local/f5hubblelcdadmin in audit logs. Since the exploitation allows unauthenticated remote code execution, unpatched internet-facing BIG-IP deployments should be considered highest priority for isolation and investigation.
About this source
GovPing monitors France CERT-FR Alerts for new data privacy & cybersecurity regulatory changes. Every update since tracking began is archived, classified, and available as free RSS or email alerts — 3 changes logged to date.
What changed
CERT-FR has elevated its prior advisory on CVE-2025-53521 from a standard security bulletin to an active-exploitation alert. The vulnerability, which allows an unauthenticated attacker to execute arbitrary code remotely on F5 BIG-IP APM, was first disclosed by F5 on October 15, 2025. As of March 29, 2026, F5 confirmed active exploitation in the wild, prompting CERT-FR to issue this bulletin with detailed compromise indicators and remediation guidance. Affected organisations running BIG-IP APM on versions 15.1.x through 17.5.x across all module variants should treat this as a priority incident-response event.
For security teams, the alert provides a structured detection playbook: file-system checks for specific artefacts and modified executables, log analysis targeting iControl REST API calls by local/f5hubblelcdadmin and SELinux-disabling commands, and integrity verification using the sys-eicheck and lsof -n utilities. Organisations with unpatched or compromised systems should isolate affected appliances, conduct forensic analysis, and rotate credentials as a precaution.
What to do next
- Verify F5 BIG-IP APM version and apply patches per F5 security bulletin K000156741
- Check for compromise indicators: presence of /run/bigtlog.pipe or /run/bigstart.ltm files, hash discrepancies in /usr/bin/umount and /usr/sbin/httpd
- Review /var/log/restjavad-audit.*.log and /var/log/audit.log.* for suspicious entries
Archived snapshot
Apr 23, 2026GovPing captured this document from the original source. If the source has since changed or been removed, this is the text as it existed at that time.
Premier Ministre S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 31 mars 2026 N° CERTFR-2026-ALE-004 Affaire suivie par: CERT-FR
Bulletin d'alerte du CERT-FR
Objet: Vulnérabilité dans F5 BIG-IP Access Policy Manager
Gestion du document
| Référence | CERTFR-2026-ALE-004 |
| Titre | Vulnérabilité dans F5 BIG-IP Access Policy Manager |
| Date de la première version | 31 mars 2026 |
| Date de la dernière version | 31 mars 2026 |
| Source(s) | Bulletin de sécurité F5 K000156741 du 15 octobre 2025 |
Une gestion de version détaillée se trouve à la fin de ce document.
Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- BIG-IP Access Policy Manager (tous les modules) versions 15.1.x antérieures à 15.1.10.8
- BIG-IP Access Policy Manager (tous les modules) versions 16.1.x antérieures à 16.1.6.1
- BIG-IP Access Policy Manager (tous les modules) versions 17.1.x antérieures à 17.1.3
- BIG-IP Access Policy Manager (tous les modules) versions 17.5.x antérieures à 17.5.1.3
Résumé
Le 15 octobre 2025, F5 a publié un avis de sécurité concernant entre autres la vulnérabilité CVE-2025-53521. Celle-ci affecte BIG-IP APM et permet à un attaquant non authentifié d'exécuter du code à distance.
Le 29 mars 2026, l'éditeur indique que cette vulnérabilité est exploitée activement.
Le CERT-FR recommande d'effectuer une recherche de compromission en s'appuyant sur les éléments documentés par F5 dans son billet de blogue [1] :
1 - Indicateurs de compromission dans le système de fichiers :
- la présence des fichiers
/run/bigtlog.pipeou/run/bigstart.ltm; - des condensats des fichiers
/usr/bin/umountet/usr/sbin/httpddifférents de ceux des versions légitimes ; - des tailles de fichiers ou date de création des fichiers
/usr/bin/umountet/usr/sbin/httpddifférentes de celles des versions légitimes. 2 - Indicateurs de compromission dans les journaux : dans les fichiers
/var/log/restjavad-audit.<NUMBER>.log, vérifier la présence d'entrées de la forme suivante, indiquant une requête iControl via API REST par un utilisateur local :
[ForwarderPassThroughWorker{"user":"local/f5hubblelcdadmin","method":"POST","uri":"http://localhost:8100/mgmt/tm/util/bash","status":200,"from":"Unknown"} dans les fichiers/var/log/auditd/audit.log.<NUMBER>, vérifier la présence d'entrées de la forme suivante, indiquant des tentatives de désactivation du système SELinux lors d'une requête iControl via API REST : msg='avc: received setenforce notice (enforcing=0) exe="/usr/lib/systemd/systemd" sauid=0 hostname=? addr=? terminal=?' dans le fichier/var/log/audit, vérifier la présence d'entrées de la forme suivante : user=f5hubblelcdadmin folder=/Common module=(tmos)# status=[Command OK] cmddata=run util bash <VARIABLECOMMAND> Cette entrée illustre un exemple de commande exécutée et consignée dans le journal d’audit, corrélée à la requête iControl REST mentionnée ci‑dessus. 3 - Indicateurs de compromission lors d'exécutions de commandes de contrôle :exécution de
sys‑eicheck: il s'agit d'un vérificateur d’intégrité du système, composant logiciel installé sur les appliances BIG‑IP. Il s’appuie sur la fonctionnalité de vérification d’intégrité des paquets RPM et confronte les exécutables présents sur le disque aux empreintes (condensats) stockées dans la base de données RPM. Lorsqu’une différence est constatée, le système alerte les utilisateurs.L'exécution de cette commande peut indiquer des erreurs de conformité, en particulier concernant les fichiers
/usr/bin/umountou/usr/sbin/httpd.exécution de
lsof -n: le système est compromis si la présence de/run/bigtlog.pipeest avérée.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité F5 K000156741 du 15 octobre 2025
- https://my.f5.com/manage/s/article/K000156741
- [1] Marqueur de compromission pour c05d5254
- https://my.f5.com/manage/s/article/K000160486
- Avis CERT-FR CERTFR-2025-AVI-0886 du 16 octobre 2025
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0886/
- Considérations et conseils à suivre si vous soupçonnez une faille de sécurité sur un système BIG-IP
- https://my.f5.com/manage/s/article/K11438344
- Référence CVE CVE-2025-53521
- https://www.cve.org/CVERecord?id=CVE-2025-53521
Gestion détaillée du document
- le 31 mars 2026 Version initiale
Related changes
Get daily alerts for France CERT-FR Alerts
Daily digest delivered to your inbox.
Free. Unsubscribe anytime.
About this page
Every important government, regulator, and court update from around the world. One place. Real-time. Free. Our mission
Source document text, dates, docket IDs, and authority are extracted directly from CERT-FR.
The summary, classification, recommended actions, deadlines, and penalty information are AI-generated from the original text and may contain errors. Always verify against the source document.
Classification
Who this affects
Taxonomy
Browse Categories
Get alerts for this source
We'll email you when France CERT-FR Alerts publishes new changes.
Subscribed!
Optional. Filters your digest to exactly the updates that matter to you.