f5 big-ip'te kritik açık aktif sömürülüyor arkadaşlar
arkadaşlar, f5 big-ip kullananlar var mı aranızda? varsa hemen bu yazıyı okuyun çünkü ciddi bir durum var. f5, başta “sadece dos açığı” dediği bir zafiyeti şimdi “kritik seviye rce” olarak yeniden sınıflandırdı. yani uzaktan kod çalıştırma açığı bu, dos falan değil. daha da kötüsü, saldırganlar şu anda aktif olarak bu açığı sömürüyor ve yamasız cihazlara webshell yerleştiriyorlar.
ne olmuş yani?
şöyle ki arkadaşlar, CVE-2025-27896 diye bir açık var. f5 big-ip’nin apm (access policy manager) modülünde bulunmuş. ilk başta “e hadi canım dos açığı, sistem çöker işte” diye düşünülmüş ama meğerse durum çok daha vahim. saldırganlar bu açığı kullanarak sisteme webshell yüklüyor, yani tam erişim elde ediyorlar.
spoiler: bu açık şu anda aktif olarak sömürülüyor, yani saldırganlar biliyorlar nasıl kullanılacağını ve kullanıyorlar da.
cvss skoru: 9.8 (kritik, acil yamala 🔴)
saldırı vektörü: network üzerinden, kimlik doğrulama gerektirmiyor
zafiyet türü: remote code execution (rce) - uzaktan kod çalıştırma
hangi sistemler etkileniyor?
| Sistem | Durum |
|---|---|
| F5 BIG-IP APM | ✅ Etkileniyor (kritik) |
| F5 BIG-IP (APM olmayan) | ❌ Etkilenmiyor |
| F5 BIG-IQ | ❌ Etkilenmiyor |
| F5 NGINX | ❌ Etkilenmiyor |
dikkat: sadece apm modülü aktif olan big-ip sistemler risk altında. apm kullanmıyorsanız nefes alabilirsiniz ama yine de kontrol edin.
teknik detaylar
CVE-2025-27896 açığı, big-ip apm’in web arayüzünde bir giriş doğrulama (input validation) hatası yüzünden oluşuyor. saldırgan, özel hazırlanmış http istekleri göndererek sisteme komut enjekte edebiliyor.
kötü niyetli tipler bu açığı kullanarak:
- webshell yüklüyorlar (kalıcı erişim için)
- hassas verilere erişiyorlar
- sistemi tamamen ele geçiriyorlar
- lateral movement için sıçrama tahtası olarak kullanıyorlar
edit: f5 bu açığı mart 2025’te yamalamış aslında ama şimdi “arkadaşlar ciddi bu, hemen yamalayın” diye tekrar duyuru yapmış. demek ki saldırılar artmış.
hemen yapmanız gerekenler
agalar, boş durmayın. şunları yapın:
1. hangi versiyonu kullandığınızı kontrol edin
# big-ip versiyonunu öğrenin
tmsh show sys version
# apm modülünün aktif olup olmadığını kontrol edin
tmsh list sys provision apm
2. yamaları hemen uygulayın
f5’in yayınladığı yamalar:
- BIG-IP 17.x: 17.1.2 ve üstüne güncelleyin
- BIG-IP 16.x: 16.1.5 ve üstüne güncelleyin
- BIG-IP 15.x: 15.1.10.4 ve üstüne güncelleyin
- BIG-IP 14.x: destek bitti, acilen yükseltin
# yamayı indirin (f5 portalından)
# ardından:
tmsh install sys software image <yama-dosyası>
# yeniden başlatın
tmsh reboot
dikkat: yedek almadan bu işe girişmeyin. önce test ortamında deneyin, sonra production’a geçin.
3. webshell kontrolü yapın
eğer yamasız çalıştıysanız bir süre, saldırganlar webshell bırakmış olabilir:
# şüpheli dosyaları arayın
find /usr/local/www -type f -name "*.php" -o -name "*.jsp" -mtime -30
# son değiştirilen dosyalara bakın
ls -lart /usr/local/www/tmui/tmui/
# web sunucu loglarını inceleyin
grep -i "POST" /var/log/httpd/httpd_access.log | grep -v "tmui/login.jsp"
webshell bulursanız:
- hemen sistemi izole edin
- incident response ekibinizi devreye alın
- tüm credential’ları değiştirin
- forensic analiz yapın
geçici çözümler
“arkadaşlar hemen yamalayamıyorum, production ortam, müsait zaman yok” diyorsanız:
1. apm erişimini kısıtlayın
# sadece güvenilir ip'lerden apm'e erişime izin verin
tmsh create security firewall rule-list apm_access_restriction
tmsh create security firewall rule apm_rule place-before first \
source addresses add { <güvenilir-ip-aralığı> } \
destination ports add { 443 } action accept
# diğer herşeyi engelleyin
tmsh create security firewall rule apm_deny place-after apm_rule \
action drop log yes
2. waf/ips kuralları ekleyin
eğer önünüzde waf varsa, apm’e giden şüpheli istekleri engelleyin:
- anormal http header’ları
- command injection pattern’leri
- webshell upload girişimleri
3. monitoring’i artırın
# apm loglarını yakından takip edin
tail -f /var/log/apm
# anormal aktivite alarmları kurun
# başarısız login'ler, beklenmedik dosya değişiklikleri vb.
ama bunlar geçici çözüm arkadaşlar. asıl çözüm yamalamak. bunu ertelemeyin.
timeline
- mart 2025: f5, CVE-2025-27896 için yama yayınladı (dos olarak sınıflandırılmış)
- 30 mart 2025: f5 açığı “kritik rce” olarak yeniden sınıflandırdı
- 30 mart 2025: aktif sömürü raporları gelmeye başladı
- şu an: saldırganlar webshell yüklüyor, acil yamalamanız gerekiyor
sonuç
agalar, f5 big-ip apm kullananlar için bu çok ciddi bir durum. CVE-2025-27896 açığı aktif olarak sömürülüyor ve saldırganlar sisteminize kalıcı erişim sağlayabiliyorlar.
yapmanız gereken şey basit: hemen yamalayın. test ortamında deneyin, ardından production’a geçin. eğer yamalayamıyorsanız, en azından erişimi kısıtlayın ve monitoring’i artırın.
bu tür kritik açıklar için “sonra bakarım” demek olmaz. saldırganlar 7/24 tarama yapıyor ve yamasız sistemleri dakikalar içinde buluyorlar.
edit: f5’in resmi security advisory’sini mutlaka okuyun, orada daha detaylı bilgi var.
kaynaklar
- BleepingComputer - Hackers now exploit critical F5 BIG-IP flaw in attacks
- CVE-2025-27896
- F5 Security Advisory
hadi kolay gelsin, umarım sistemlerinizde sıkıntı yoktur. varsa da hemen müdahale edin.
Bu içerik yapay zeka tarafından oluşturulmuştur.