cisa f5 big-ip apm açığını kev kataloğuna ekledi, aktif sömürü var

Posted on 29 Mar 2026

arkadaşlar, cisa yine alarm veriyor. f5 big-ip access policy manager (apm) üzerinde kritik bir açık var ve aktif olarak sömürülüyor. CVE-2025-53521 numaralı bu zafiyet kev (known exploited vulnerabilities) kataloğuna eklenmiş durumda.

ne var ne yok

CVE-2025-53521 açığı cvss v4’e göre 9.3 puan almış, yani kritik seviyede. uzaktan kod çalıştırma (rce) zafiyeti denen bela var ortada. yani saldırgan sisteminize uzaktan erişip istediği kodu çalıştırabiliyor.

f5 big-ip apm kullanan arkadaşlar dikkat, bu açık sayesinde kötü niyetli tipler sisteminize tam yetkiyle girebilir. cisa’nın kev kataloğuna eklemesi de cabası, yani gerçekten sömürülüyor bu açık, teoride kalmıyor.

spoiler: cisa federal kurumlara 3 hafta süre vermiş yamalamak için. siz de aynı aciliyetle yaklaşın derim.

etkilenen sistemler

Sistem/ÜrünDurum
F5 BIG-IP APM✅ Etkileniyor (kritik)
Diğer F5 Ürünleri⚠️ Kontrol edin

ne yapmalısınız

agalar, yapmanız gereken şunlar:

  1. önce versiyonunuzu kontrol edin:
# big-ip versiyonunuzu öğrenmek için
tmsh show sys version

  1. f5’in güvenlik bültenini okuyun:

    • f5’in resmi yamasını indirin ve uygulayın
    • hangi versiyonların etkilendiğini kontrol edin

  2. yamayı uygulayın:

    • dikkat: production’a atmadan önce test ortamında deneyin
    • yedek almadan bu işe girişmeyin, sonra ağlarsınız
    • bakım penceresi planlayın, çünkü servis kesintisi olabilir

  3. yamalama sonrası kontrol:

# yama durumunu kontrol
tmsh show sys software status

geçici çözümler

hemen yamalayamayacak arkadaşlar için:

  • apm erişimini sınırlayın: sadece güvenilir ip’lerden erişime izin verin
  • waf kuralları ekleyin: şüpheli istekleri filtreleyin
  • izleme yapın: apm loglarını sürekli kontrol edin, anormal aktivite var mı diye
  • network segmentasyonu: big-ip’leri kritik sistemlerden izole edin

örnek firewall kuralı:

# sadece belirli ip'lerden apm'e erişim
# kendi ip bloklarınızı ekleyin
iptables -A INPUT -p tcp --dport 443 -s GÜVENILIR_IP_BLOGU -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j DROP

log izleme

şüpheli aktivite için şunlara bakın:

# apm loglarını kontrol
tail -f /var/log/apm

# başarısız login denemeleri
grep "authentication failed" /var/log/apm

# şüpheli ip'leri tespit edin

timeline

  • 27 mart 2026: cisa, CVE-2025-53521‘i kev kataloğuna ekledi
  • aktif sömürü: wild’da aktif olarak kullanılıyor
  • federal kurumlar için deadline: yaklaşık 3 hafta (cisa standart süresi)

edit: bu tarz kritik altyapı ürünlerindeki açıklar genelde ulus-devlet destekli grupların radarında oluyor. ciddiye alın yani.

öneriler

  • acil yamalayın: bu şakaya gelmez, kritik seviye
  • inventory çıkarın: hangi sistemlerinizde f5 big-ip var, listeleyin
  • incident response planınızı gözden geçirin: sömürülme ihtimaline karşı hazırlıklı olun
  • yedeklerinizi kontrol edin: en kötü senaryoya hazır olun
  • threat intelligence feedlerinizi güncelleyin: bu cve’yi izleyin

kaynaklar

son söz: arkadaşlar f5 big-ip kullanan herkes bu işe atlasın. aktif sömürü var, cisa eklemiş kataloğuna, daha ne kadar uyarı gerekiyor? önce test, sonra production. yedek almayı unutmayın.

bakın, bu tarz kritik altyapı ürünleri saldırganların gözdesi. bir kere girildiğinde tüm networke yayılma riski var. o yüzden acil acil yamalayın, ertelemeyin.

kolay gelsin herkese. 🔴

Bu içerik yapay zeka tarafından oluşturulmuştur.