F5 BIG-IP: Kritische Sicherheitslücke führt zu weltweitem Notfall

Eine Sicherheitslücke in F5 BIG-IP-Systemen wird aktiv ausgenutzt und ermöglicht Angreifern die vollständige Übernahme von Netzwerken. US-Behörden setzen eine Frist bis Mitternacht.

Vom Fehler zur Systemübernahme

Was Ende 2025 als moderate Schwachstelle eingestuft wurde, entpuppt sich nun als kritische Gefahr. Die als CVE-2025-53521 bekannte Lücke in F5s Access Policy Manager (APM) ermöglicht nicht mehr nur Dienstunterbrechungen, sondern unauthentifizierte Fernausführung von Code. Angreifer können so mit höchsten Berechtigungen beliebige Befehle auf betroffenen Systemen ausführen – ohne gültige Anmeldedaten.

Angesichts kritischer Sicherheitslücken in zentralen Netzwerkkomponenten stehen viele Unternehmen vor der Herausforderung, ihre IT-Infrastruktur kurzfristig abzusichern. Dieser Experten-Report zeigt effektive Strategien auf, wie sich mittelständische Betriebe ohne Budget-Explosion gegen hochsophistizierte Cyberkriminelle wappnen können. Effektive Strategien gegen Cyberkriminelle entdecken

Die Bewertung spiegelt die neue Gefahrenlage wider: Das Common Vulnerability Scoring System (CVSS) stuft die Lücke mit 9,8 (v3.1) bzw. 9,3 (v4.0) ein – die höchste Kategorie kritischen Risikos. Da BIG-IP APM oft als zentrale Zugangsschleuse für externe Mitarbeiter und Partner dient, bietet eine Kompromittierung Angreifern einen idealen Startpunkt, um sich lateral im Unternehmensnetzwerk auszubreiten.

Aktive Angriffe mit mutmaßlich staatlichem Hintergrund

Die Ausnutzung ist keine Theorie mehr. Seit dem Wochenende melden Sicherheitsfirmen erfolgreiche Angriffe auf ungepatchte Geräte. Die Angreifer installieren sogenannte Webshells, die vorwiegend im Arbeitsspeicher operieren. Diese „filelosen“ Schadprogramme sind für traditionelle Virenscanner nur schwer erkennbar und können Persistenz selbst nach Neustarts aufrechterhalten.

Sicherheitsforscher sehen Indizien für hochsophistizierte, mutmaßlich staatliche Akteure aus China. Gruppen wie UNC5221 haben eine Historie darin, Edge-Netzwerkgeräte für langfristige Spionage zu kompromittieren. Die jetzige Angriffswelle könnte eine direkte Folge eines früheren Datendiebstahls bei F5 sein: Im Oktober 2025 waren interne Entwicklungsumgebungen des Unternehmens gehackt worden. Die Angreifer nutzen nun offenbar die damals erbeuteten Informationen über unveröffentlichte Schwachstellen aus.

Internationaler Alarm und harte Fristen

Die Eskalation hat eine koordinierte Reaktion internationaler Behörden ausgelöst. Die US-Cybersicherheitsbehörde CISA hat die Lücke in ihren Katalog aktiv ausgenutzter Schwachstellen aufgenommen und eine harte Frist gesetzt: Alle US-Bundesbehörden müssen bis heute, 30. März 2026, Mitternacht, gepatcht haben oder die Systeme abschalten.

Auch das britische National Cyber Security Centre (NCSC) warnt die Privatwirtschaft, insbesondere Finanz- und Kritische-Infrastruktur-Unternehmen. Für Firmen unter GDPR-Regulierung könnte das Unterlassen der Patchnachinstallation als Verstoß gegen den Stand der Technik gewertet werden – mit potenziell hohen Strafen bei einem darauffolgenden Datendiebstahl. Laut dem Shadowserver Foundation sind weltweit noch über 240.000 BIG-IP-Instanzen dem Internet ausgesetzt, viele davon in anfälligen Versionen.

Patch allein reicht nicht: Forensik ist Pflicht

F5 warnt, dass das reine Aufspielen des Patches für bereits angegriffene Organisationen nicht ausreicht. Das Unternehmen empfiehlt eine umfassende forensische Untersuchung aller BIG-IP-Systeme. Administratoren sollten Logs, Terminalverlauf und Festplattenpartitionen auf unbefugte Änderungen prüfen.

Während Behörden und IT-Hersteller zur Eile mahnen, zeigt die Praxis, dass viele Firmen auf derartige Cyberangriffe und die damit verbundenen gesetzlichen Anforderungen nicht vorbereitet sind. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie die IT-Sicherheit Ihres Unternehmens durch proaktive Maßnahmen stärken und teure Konsequenzen vermeiden. Kostenlosen Cyber-Security-Leitfaden herunterladen

Ein besonderes Risiko: Angreifer manipulieren offenbar das Integritätsprüf-Tool sys-eicheck, um ihre Anwesenheit zu verschleiern. Nach einer Manipulation meldet das Tool fälschlicherweise ein „sauberes“ System.

Betroffen sind mehrere Hauptversionen der BIG-IP-Software, darunter 17.1.0 bis 17.1.2 und 16.1.0 bis 16.1.6. Unternehmen, die nicht sofort patchen können, sollten die betroffenen virtuellen Server isolieren oder die APM-Funktionalität deaktivieren.

Branchenweite Folgen und Trendwende

Der Vorfall unterstreicht einen besorgniserregenden Trend: Angreifer zielen zunehmend auf die Sicherheitstools selbst ab. Die Kompromittierung einer Zugangsmanagement-Lösung macht die „Haustür“ einer Organisation zum Einfallstor.

Marktbeobachter erwarten, dass dieser Zwischenfall den Übergang zu Zero-Trust-Architekturen (ZTNA) beschleunigen wird. Diese verteilen Sicherheitskontrollen und beseitigen zentrale Gateways als Single Point of Failure. Für viele Unternehmen sind die wiederkehrenden kritischen Lücken in Edge-Geräten von F5, Citrix und Ivanti bereits ein Hauptgrund, Sicherheitsfunktionen in die Cloud zu verlagern.

Was jetzt zu tun ist

Die nächsten Wochen werden eine hohe Zahl automatisierter Angriffsversuche bringen, sobald Scan-Tools um die neue Exploit-Methode erweitert werden. Die ursprünglichen Patches aus dem Jahr 2025 wirken zwar gegen die RCE-Angriffsvektoren, doch der neu gewonnene Erkenntnisstand lässt keinen Spielraum mehr für Verzögerungen.

Die Wiederherstellung für betroffene Organisationen wird über das reine Patchen hinausgehen. Die Komplexität der „Brickstorm“-Malware und die heimliche Natur der Schadsoftware erfordern anhaltende Threat-Hunting-Maßnahmen. Unternehmen sollten administrative Aktivitäten, Konfigurationsänderungen und ausgehenden Datenverkehr ihrer BIG-IP-Geräte genau überwachen. Nach Ablauf der heutigen Frist verlagert sich der Fokus von der Prävention zur Erkennung und Schadensbegrenzung.

boerse | 69030833 |