개요
F5 BIG-IP APM은 F5 Networks의 접근 제어 솔루션으로, 인증되지 않은 공격자가 원격 코드를 실행(RCE) 할 수 있는 심각한 보안 취약점이 확인되었습니다. BIG-IP APM을 운영중인 조직이라면 즉각적인 점검과 패치 적용이 필요합니다. 해당 취약점(CVE_2025-53521)은 2025년 10월 15일 서비스 거부(DoS) 취약점으로 최초 분류되었으나, 이후 원격 코드 실행이 가능한 것으로 새롭게 파악되어 2026년 3월 27일 CISA KEV에 재분류·등재되었습니다. CVSS v3.1 기준 9.8점(Critical)으로 위험도가 매우 높습니다. 특히 F5 Networks는 이 취약점을 악용한 침해 사고가 국가 지원 해킹 그룹의 소행으로 추정된다고 밝혔으며, 공격자가 내부 네트워크에 장기간 잠복한 정황을 확인했습니다. 네덜란드 국가 사이버 보안 센터(NCSC-NL)역시 실제 공격에 악용된 사례를 보고한 바 있습니다.
영향을 받는 버전
이 취약점으로 인해 영향 받는 F5 BIG-IP APM 버전은 아래와 같습니다.
| 버전 | 취약한 버전 | 패치 버전 |
|---|---|---|
| 17.5.x | 17.5.0 ~ 17.5.1 | 17.5.3 |
| 17.1.x | 17.1.0 ~17.1.2 | 17.1.3 |
| 16.1.x | 16.1.0~16.1.6 | 16.1.6.1 |
| 15.1.x | 15.1.0 ~ 15.1.10 | 15.1.10.8 |
취약점 분석
본 취약점은 BIG-IP APM의 apmd 프로세스에서 발생합니다. apmd는 APM 액세스 정책이 설정된 경우 실시간 트래픽을 처리하는 핵심 컴포넌트입니다. 악성 페이로드가 이 프로세스에 전달되었을 때, 부적절한 리소스 처리(CWE-770: 리소스 할당 제한 없음)로 인해 원격 코드 실행이 가능해집니다.
공격 성공 시 영향
공격자가 RCE에 성공할 경우, 다음과 같은 추가 공격으로 확대될 수 있습니다.
- 임의 명령 실행 : 실행 중인 서비스 권한으로 시스템 명령어를 임의로 수행
- 악성코드 설치 : 백도어 및 웹쉘 등 악성코드를 설치하여 지속적인 접근 경로 확보
- 지속성 확보 : SELinux 보안 모듈 비활성화 및 시스템 무결성 검사 도구(
sys-eicheck) 변조를 통한 탐지 우회 - 정보 유출 : APM이 처리하는 크리덴셜, 세션 데이터 및 내부 시스템 정보 탈취
- 내부망 공격 : 내부망 침투 후 측면 이동(Lateral Movement)을 통한 내부 시스템 공격 수행
탐지 방안
- 침해 지표(IoC) 확인
| 유형 | 내용 |
|---|---|
| 비정상 파일 존재 | /run/bigtlog.pipe 및 /run/bigstart.ltm 이 존재하는지 확인 |
| 파일 변조 | /usr/bin/umount 또는 /usr/sbin/httpd 의 해시값, 타임스탬프가 정상 버전과 일치하지 않는지 확인 |
- 감사 로그 점검
localhost 대상 iControl REST API 비정상 접근 기록이 있는지 확인합니다.
# 확인 대상: /var/log/restjavad-audit.<NUMBER>.log
[ForwarderPassThroughWorker{"user":"local/f5hubblelcdadmin","method":"POST","uri":"http://localhost:8100/mgmt/tm/util/bash","status":200,"from":"Unknown"}
- SELinux 비활성화 이벤트 확인
로컬 사용자에 의한 SELinux 비활성화 이벤트가 발생했는지 시스템 로그를 점검합니다.
# 확인 대상: /var/log/auditd/audit.log.<NUMBER>
msg='avc: received setenforce notice (enforcing=0) exe="/usr/lib/systemd/systemd" sauid=0 hostname=? addr=? terminal=?'
- F5 공식 진단 도구 활용
F5에서 제공하는 System Scaner 를 이용해 취약점 진단을 수행할 수 있습니다.
https://my.f5.com/manage/s/article/K000160515
- 프로세스 점검
lsof -n 명령어를 실행하여 /run/bigtlog.pipe 항목이 열려있는 프로세스가 있는지 확인합니다.
- 비정상 외부 통신 확인
BIG-IP 시스템에서 HTTP 201 응답 코드와 CSS 콘텐츠 유형을이 결합된 HTTPS 통신이 있었는지 확인합니다. 정상적인 BIG-IP 운영 환경에서는 CSS 리소스가 201 코드로 응답하지 않으므로, 이 패턴은 C2 통신의 지표일 수 있습니다.
대응 방안
첫째, 현재 운영중인 BIG-IP APM 버전을 확인하고, 즉시 업데이트 합니다.
둘째, 이 취약점은 공개 이전부터 악용된 사례가 확인되었습니다. 패치 적용에 앞서 F5 System Scanner 를 이용해 진단을 수행하거나, 위에 기재된 침해지표의 존재여부를 반드시 확인하시기 바랍니다.
