ด่วน แจ้งเตือนช่องโหว่ใน F5 BIG-IP APM เสี่ยงถูกโจมตี Remote Code Execution (RCE) ขอให้ผู้ดูแลระบบเร่งดำเนินการแก้ไขโดยทันที

ด่วน แจ้งเตือนช่องโหว่ใน F5 BIG-IP APM เสี่ยงถูกโจมตี Remote Code Execution (RCE) ขอให้ผู้ดูแลระบบเร่งดำเนินการแก้ไขโดยทันที
ข่าวสารภัยคุกคามทางไซเบอร์
ยอดเข้าชม: 42 views

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยในผลิตภัณฑ์ F5 BIG-IP Access Policy Manager (APM) ซึ่งพบว่ามีการนำไปใช้ในการโจมตีจริงแล้ว จึงขอแจ้งเตือนหน่วยงานที่เกี่ยวข้องให้เร่งดำเนินการตรวจสอบและแก้ไขโดยด่วน

1. รายละเอียด

ช่องโหว่หมายเลข CVE-2025-53521 ( คะแนน CVSSv.3.1 : 9.3 ) [1] เป็นช่องโหว่ในระบบ F5 BIG-IP Access Policy Manager (APM) ซึ่งเปิดโอกาสให้ผู้ไม่หวังดีสามารถดำเนินการ Remote Code Execution (RCE) ได้ ช่องโหว่นี้เกิดขึ้นเมื่อมีการตั้งค่า access policy บน virtual server โดยผู้โจมตีสามารถส่งข้อมูลที่ถูกออกแบบมาเป็นพิเศษเพื่อสั่งรันโค้ดบนระบบเป้าหมายได้โดยไม่ต้องผ่านการยืนยันตัวตน (pre-authentication) ทั้งนี้ ช่องโหว่ดังกล่าวเคยถูกจัดประเภทเป็น Denial-of-Service (DoS) แต่ภายหลังได้รับการปรับระดับเป็น RCE จากข้อมูลใหม่ที่พบในเดือนมีนาคม 2026 [2]

2. รูปแบบการนำไปใช้ในการโจมตีจริง

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ได้บรรจุช่องโหว่นี้ไว้ในรายการ Known Exploited Vulnerabilities (KEV) [3] ซึ่งยืนยันว่ามีการใช้ช่องโหว่นี้ในการโจมตีจริงแล้ว นอกจากนี้ ยังพบพฤติกรรมการโจมตี เช่น:

2.1 การสแกนหาอุปกรณ์ F5 BIG-IP ที่มีช่องโหว่

2.2 การเรียกใช้งาน REST API endpoint เช่น /mgmt/shared/identified-devices/config/device-info

2.3 การพยายามฝัง webshell (ทั้งในรูปแบบไฟล์และในหน่วยความจำ)

2.4 การแก้ไขไฟล์สำคัญของระบบ เช่น /usr/bin/umount และ /usr/sbin/httpd

2.5 การหลบเลี่ยงการตรวจจับด้วยการปลอม HTTP response (เช่น HTTP 201 และ content-type เป็น CSS)

3. ผลิตภัณฑ์ที่ได้รับผลกระทบ

มีผลิตภัณฑ์ F5 BIG-IP เวอร์ชันต่อไปนี้ที่ได้รับผลกระทบ:

3.1 F5 BIG-IP เวอร์ชัน 17.5.0 – 17.5.1

3.2 F5 BIG-IP เวอร์ชัน 17.1.0 – 17.1.2

3.3 F5 BIG-IP เวอร์ชัน 16.1.0 – 16.1.6

3.4 F5 BIG-IP เวอร์ชัน 15.1.0 – 15.1.10

4. แนวทางการแก้ไข

4.1 ไม่มีวิธีแก้ไขชั่วคราว (Workaround) ที่สามารถลดความเสี่ยงได้อย่างมีประสิทธิภาพ ผู้ดูแลระบบควรอัปเดตซอฟต์แวร์เป็นเวอร์ชันที่ได้รับการแก้ไขแล้วทันที:

– อัปเดตเป็น F5 BIG-IP เวอร์ชัน 17.5.1.3 หรือใหม่กว่า

– อัปเดตเป็น F5 BIG-IP เวอร์ชัน 17.1.3 หรือใหม่กว่า

– อัปเดตเป็น F5 BIG-IP เวอร์ชัน 16.1.6.1 หรือใหม่กว่า

– อัปเดตเป็น F5 BIG-IP เวอร์ชัน 15.1.10.8 หรือใหม่กว่า

4.2 หากยังไม่สามารถอัปเดตได้ทันที ผู้ดูแลระบบควรดำเนินการดังต่อไปนี้:

– จำกัดการเข้าถึงระบบบริหารจัดการ (management interface)

– ปิดการเข้าถึงจากอินเทอร์เน็ต (Internet-facing) หากไม่จำเป็น

– ใช้ Firewall หรือ ACL เพื่อจำกัด IP ที่สามารถเข้าถึงระบบได้

แหล่งอ้างอิง

[1] https://nvd.nist.gov/vuln/detail/CVE-2025-53521

[2] https://my.f5.com/manage/s/article/K000156741

[3] https://www.cisa.gov/known-exploited-vulnerabilities-catalog

Post Views: 75