CVE-2025-53521은 F5 BIG-IP APM의 트래픽 처리 과정에서 발생하는 버퍼 오버플로우를 악용합니다.
이 취약점은 별도의 인증 절차 없이 공격자가 시스템의 최고 권한(Root)을 탈취할 수 있는 원격 코드 실행(RCE) 취약점입니다. APM 액세스 정책이 적용된 가상 서버가 대상이며, 공격 성공 시 시스템 전체 장애(DoS)나 악성코드 실행을 통해 정보 유출 및 2차 공격의 발판이 됩니다.
취약점 개요 및 심각도
CVE-2025-53521은 처음에는 단순 서비스 거부(DoS)로 분류되었으나, 심층 분석 결과 비인증 원격 코드 실행(Unauthenticated RCE)으로 재분류되었습니다.
이로 인해 전 세계 보안 당국이 긴급 경보를 발동했습니다. 미국 CISA는 ‘알려진 악용 취약점(KEV)’ 카탈로그에 등록하고 연방 기관에 3일 내 패치를 지시했으며, 영국 NCSC와 한국 ASEC 등 주요 기관 역시 즉각 조치를 권고하고 있습니다.
이 취약점의 위험도를 수치로 확인하면 다음과 같습니다.
- CVSS v4 점수: 9.3 (치명적 – Critical)
- EPSS 악용 확률: 백분위수 97.4% (악용 가능성 매우 높음)
- 공격 난이도: 낮음 (인증 불필요, 네트워크 접근 가능)
- 주요 영향: Root 권한 획득, TMM 프로세스 충돌로 인한 서비스 중단
현재 Defused Cyber 등 보안 기관에 따르면, KEV 등록 후 취약한 F5 BIG-IP 시스템을 대상으로 한 대규모 스캔 활동이 급증하고 있습니다. 이는 실제 공격이 활발히 진행되고 있음을 시사합니다.
영향받는 제품 및 버전
이 취약점은 모든 F5 BIG-IP 제품에 영향을 미치지 않습니다.
구체적으로 F5 BIG-IP Access Policy Manager(APM) 기능을 사용하는 특정 버전에만 영향을 미칩니다. APM을 사용하지 않거나 영향받는 버전 범위를 벗어난 경우에는 취약점이 존재하지 않습니다.
관리자는 즉시 자신의 버전을 확인하고 대응해야 합니다.
| 메이저 버전 | 영향받는 버전 (Vulnerable) | 해결된 버전 (Fixed) |
|---|---|---|
| BIG-IP 15.x | 15.1.0 ~ 15.1.10 | 15.1.10.8 |
| BIG-IP 16.x | 16.1.0 ~ 16.1.6 | 16.1.6.1 |
| BIG-IP 17.x | 17.1.0 ~ 17.1.2 | 17.1.3 |
| BIG-IP 17.x | 17.5.0 ~ 17.5.1 | 17.5.1.3 |
참고: BIG-IQ, BIG-IP Next, NGINX, F5 Distributed Cloud Services 제품군은 이 취약점의 영향을 받지 않습니다.
CVE-2025-53521 분석 및 영향 범위: 기술적 작동 원리
이 취약점은 단순한 설정 오류가 아닙니다.
소프트웨어의 트래픽 처리 로직 자체에 결함이 있어 기술적인 분석이 필수적입니다. CVE-2025-53521 분석 및 영향 범위를 이해하려면 APM의 요청 처리 방식과 메모리 관리 메커니즘을 살펴야 합니다.
공격 메커니즘 및 기술적 세부사항
공격자는 외부에서 인증 절차 없이 특수하게 조작된 악성 트래픽을 BIG-IP APM 가상 서버로 전송합니다.
이 과정에서 두 가지 주요 취약점(CWE)이 결합하여 치명적인 결과를 초래합니다.
- 악성 트래픽 주입: 공격자는 APM 액세스 정책이 적용된 가상 서버의 특정 엔드포인트로 의도적으로 왜곡된 데이터 패킷을 보냅니다.
- TMM 프로세스 취약점: BIG-IP의 핵심 엔진인 TMM(Traffic Management Microkernel)이 이 트래픽을 처리할 때 스택 기반 버퍼 오버플로우(CWE-121)가 발생합니다. 이는 데이터가 할당된 메모리 공간을 넘어 인접 메모리를 덮어쓰는 현상입니다.
- 무제한 리소스 할당(CWE-770): 동시에 발생하는 리소스 할당 문제로 시스템은 비정상적인 연산을 수행하게 됩니다.
- 원격 코드 실행 및 권한 탈취: 버퍼 오버플로우를 통해 공격자는 임의의 코드를 삽입하고 실행할 수 있습니다. TMM은 높은 권한(Root 수준)으로 실행되는 프로세스이므로, 공격자는 즉시 시스템의 최고 관리자 권한을 획득합니다.
- 파일리스 웹쉘 위협: 일부 확인된 공격 사례에서는 웹쉘이 디스크에 파일로 기록되지 않고 메모리 상에서만 실행됩니다. 이는 기존 파일 기반 탐지 솔루션을 우회하는 정교한 기법입니다.
긴급 완화 조치 및 대응 가이드
CVE-2025-53521의 EPSS 점수가 97.4%라는 점은 매우 높은 확률로 악용이 시도되고 있음을 의미합니다.
따라서 관리자는 즉시 다음 단계별 대응 조치를 취해야 합니다.
- 즉시 패치 적용: 표에 명시된 ‘해결된 버전’으로 소프트웨어를 업그레이드하는 것이 가장 확실한 대응책입니다. 지원 종료(EOTS) 버전을 사용 중이라면, 지원이 종료되지 않은 최신 버전으로 마이그레이션해야 합니다.
- 관리 포트 차단: BIG-IP의 관리 포트(Self IP)나 APM 관련 인터페이스를 인터넷에 직접 노출하지 않도록 방화벽 정책을 재검토하십시오. 불필요한 외부 접근을 차단해야 합니다.
- 임시 완화 조치 (WAF): 패치 적용 전까지는 WAF(Web Application Firewall) 규칙을 배포하여 비정상적이거나 의심스러운 APM 프로토콜 트래픽을 차단해야 합니다.
- 침해 징후 확인 (IOCs): 이미 공격을 받았을 가능성을 열어두고 로그를 분석해야 합니다.
/run/bigtlog.pipe,/run/bigstart.ltm같은 의심스러운 파일이나/usr/bin/umount,/usr/sbin/httpd같은 핵심 바이너리의 무결성을 검사하십시오. - 메모리 기반 탐지 강화: 파일이 생성되지 않는 ‘파일리스(Fileless)’ 공격에 대비하여야 합니다. 단순히 파일 시스템만 모니터링할 것이 아니라 실행 중인 프로세스와 네트워크 트래픽을 실시간으로 감시하는 체계를 병행해야 합니다.
결론: 지금 당장 점검하고 패치하십시오
CVE-2025-53521은 단순한 서비스 중단을 넘어선 위협입니다.
공격자가 BIG-IP 장비를 완전히 장악할 수 있는 치명적인 원격 코드 실행 취약점입니다. 이미 실제 악용 사례가 확인되었고 전 세계적으로 공격 시도가 급증하고 있으므로, 방치할 경우 조직의 전체 네트워크가 위협에 노출됩니다.
지금 바로 귀하의 F5 BIG-IP 버전이 영향받는 버전인지 확인하십시오. 그리고 F5에서 제공하는 최신 보안 업데이트로 즉시 패치를 진행해야 합니다. 추가적으로 최신 보안 위협 동향과 대응 가이드를 확인하고 싶으시다면, 관련 보안 뉴스레터를 구독하여 잠시도 눈을 떼지 않고 모니터링하시길 강력히 권장합니다.