CISA Masukkan CVE-2025-53521 F5 BIG-IP APM ke Daftar KEV Karena Eksploitasi Aktif
CISA (Cybersecurity and Infrastructure Security Agency) Amerika Serikat secara resmi menambahkan kerentanan kritis yang memengaruhi F5 BIG-IP Access Policy Manager (APM) ke dalam katalog Known Exploited Vulnerabilities (KEV) pada Jumat, 27 Maret 2026. Langkah ini diambil menyusul adanya bukti nyata eksploitasi aktif yang membahayakan keamanan sistem.
Kerentanan CVE-2025-53521 dan Dampaknya
Kerentanan yang diberi kode CVE-2025-53521 ini memiliki skor CVSS v4 sebesar 9,3, yang mengindikasikan tingkat keparahan sangat tinggi. Celah ini memungkinkan pelaku ancaman melakukan remote code execution (RCE), artinya peretas bisa menjalankan kode berbahaya dari jarak jauh pada sistem yang terdampak.
Menurut deskripsi di CVE.org, "Ketika kebijakan akses BIG-IP APM dikonfigurasi pada server virtual, lalu lintas jahat tertentu dapat menyebabkan eksekusi kode jarak jauh (RCE)."
Perubahan Klasifikasi dan Konfirmasi Eksploitasi
Awalnya, kerentanan ini dikategorikan sebagai masalah denial-of-service (DoS) dengan skor CVSS 8,7. Namun, berdasarkan "informasi baru yang diperoleh pada Maret 2026," F5 mengklasifikasikan ulang kerentanan ini sebagai RCE. Perusahaan juga memperbarui advisornya, mengonfirmasi bahwa celah tersebut telah dieksploitasi pada versi BIG-IP yang rentan.
Meskipun F5 tidak mengungkap siapa pelaku di balik eksploitasi ini, mereka memberikan sejumlah indikator teknis untuk membantu pengguna mengevaluasi apakah sistem mereka telah dikompromikan.
Indikator Kompromi Sistem
- Indikator terkait file: Kehadiran file /run/bigtlog.pipe dan/atau /run/bigstart.ltm, serta ketidaksesuaian hash file dan ukuran atau cap waktu pada /usr/bin/umount dan /usr/sbin/httpd dibanding versi asli.
- Indikator terkait log: Entri di log /var/log/restjavad-audit.<NUMBER>.log dan /var/log/auditd/audit.log.<NUMBER> yang menunjukkan akses lokal ke iControl REST API, termasuk upaya menonaktifkan SELinux.
- Modifikasi komponen sistem: Perubahan pada file yang dicek oleh pemeriksa integritas sistem sys-eicheck, khususnya berkas /usr/bin/umount dan /usr/sbin/httpd, yang menyebabkan kegagalan alat tersebut.
- Perilaku lalu lintas HTTP/S: Adanya respons HTTP 201 dan tipe konten CSS yang digunakan untuk menyamarkan aktivitas penyerang.
- Perubahan file terkait webtop: Perubahan pada file /var/sam/www/webtop/renderer/apm_css.php3, full_wt.php3, dan webtop_popup_css.php3 meski tidak selalu menandakan masalah keamanan langsung.
F5 juga memperingatkan bahwa "telah ditemukan kasus webshell yang ditulis ke disk, namun umumnya webshell tersebut berjalan hanya di memori," sehingga file-file terkait mungkin tidak dimodifikasi secara langsung.
Versi Terkena dan Batas Waktu Patch
Kerentanan ini memengaruhi versi BIG-IP berikut:
- 17.5.0 hingga 17.5.1 (sudah diperbaiki di versi 17.5.1.3)
- 17.1.0 hingga 17.1.2 (diperbaiki di versi 17.1.3)
- 16.1.0 hingga 16.1.6 (diperbaiki di versi 16.1.6.1)
- 15.1.0 hingga 15.1.10 (diperbaiki di versi 15.1.10.8)
Karena eksploitasi aktif yang terjadi, Federal Civilian Executive Branch (FCEB) diwajibkan untuk menerapkan patch keamanan sebelum 30 Maret 2026 guna melindungi jaringan mereka.
Pandangan Ahli Keamanan
Benjamin Harris, CEO dan pendiri WatchTowr, menyatakan, "Saat CVE-2025-53521 pertama kali muncul tahun lalu sebagai masalah DoS, urgensi tidak terlalu terasa dan banyak administrator sistem mungkin menganggapnya rendah prioritas. Kini, situasinya sangat berbeda. Kami melihat RCE tanpa autentikasi dan bukti eksploitasi nyata, didukung oleh pencantuman CISA dalam KEV. Ini profil risiko yang jauh lebih serius daripada yang awalnya dikomunikasikan."
Analisis Redaksi
Menurut pandangan redaksi, penambahan CVE-2025-53521 ke daftar KEV CISA menandai titik krusial dalam siklus keamanan produk F5 BIG-IP APM. Eksploitasi aktif menunjukkan bahwa ancaman ini sudah jauh melewati tahap teori dan telah menjadi risiko nyata bagi organisasi yang menggunakan perangkat tersebut. Hal ini menggarisbawahi pentingnya pemantauan berkelanjutan serta respons cepat terhadap pembaruan keamanan, terutama pada infrastruktur kritis yang rentan terhadap RCE.
Lebih jauh, ketidakjelasan pelaku serangan dan metode penyamaran yang canggih seperti webshell yang hanya berjalan di memori menuntut pendekatan keamanan yang lebih proaktif dan berlapis. Organisasi tidak cukup hanya mengandalkan patch; mereka juga harus meningkatkan sistem deteksi anomali dan analisis forensik digital untuk mengantisipasi pelanggaran yang sulit terdeteksi.
Ke depan, penting bagi pemangku kepentingan TI untuk terus mengikuti perkembangan advisori resmi seperti dari CISA dan vendor terkait. Penundaan patch dapat berakibat fatal, terutama dengan tenggat waktu FCEB yang sudah ditetapkan. Sumber resmi CISA menjadi referensi utama yang harus diikuti agar jaringan tetap terlindungi dari ancaman terbaru.
Dengan situasi yang terus berkembang ini, pembaca disarankan untuk tetap waspada dan melakukan pembaruan keamanan sesegera mungkin guna mencegah potensi kerugian akibat eksploitasi celah kritis ini.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
