Агентство з кібербезпеки та інфраструктурної безпеки США додало вразливість CVE-2025-53521 до свого каталогу відомих експлуатованих вразливостей. Ця вразливість стосується продукту F5 BIG-IP Access Policy Manager і має оцінку CVSS v4 — 9.3. Вона дозволяє віддалене виконання коду, коли на віртуальному сервері налаштовано політику доступу APM і надходить спеціальний шкідливий трафік. Спочатку вразливість класифікували як відмову в обслуговуванні з оцінкою 8.7, але в березні 2026 року на основі нової інформації її перекласифікували в RCE. F5 оновила свій бюлетень і підтвердила, що вразливість вже експлуатували в реальних версіях BIG-IP. Вразливість впливає на версії 17.5.0–17.5.1, 17.1.0–17.1.2, 16.1.0–16.1.6 та 15.1.0–15.1.10.

Експлуатація відбувається через специфічний HTTP/S-трафік з кодом відповіді 201 і типом вмісту CSS. Зловмисники змінювали системні файли, наприклад /usr/bin/umount і /usr/sbin/httpd, розгортали вебшелли в пам’яті та вимикали SELinux через локальний доступ до iControl REST API. CISA та F5 опублікували індикатори компрометації: наявність файлів /run/bigtlog.pipe, невідповідність хешів і розмірів системних файлів, записи в логах /var/log/restjavad-audit та /var/log/auditd. Дослідники Defused Cyber зафіксували активне сканування вразливих пристроїв через endpoint /mgmt/shared/identified-devices/config/device-info. Федеральні цивільні виконавчі органи США мають усунути проблему до 30 березня 2026 року. Внаслідок експлуатації можливе повне захоплення системи, але конкретних жертв на момент публікації не називали.