La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes una falla de seguridad crítica que afecta a F5 BIG-IP Access Policy Manager (APM) a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2025-53521 (Puntuación CVSS v4: 9,3), lo que podría permitir a un actor de amenazas lograr la ejecución remota de código.
«Cuando se configura una política de acceso BIG-IP APM en un servidor virtual, el tráfico malicioso específico puede conducir a la ejecución remota de código (RCE)», según una descripción de la falla en CVE.org.
Si bien la deficiencia fue inicialmente categorizada y remediada como una vulnerabilidad de denegación de servicio (DoS) con una puntuación CVSS v4 de 8,7, F5 dijo que ha sido reclasificada como un caso de RCE a la luz de «nueva información obtenida en marzo de 2026».
Desde entonces, la compañía actualizó su aviso para confirmar que la vulnerabilidad «ha sido explotada en las versiones vulnerables de BIG-IP». No compartió ningún detalle adicional sobre quién puede estar detrás de la actividad de explotación.
Sin embargo, F5 publicó una serie de indicadores que se pueden utilizar para evaluar si el sistema se ha visto comprometido:
- Indicadores relacionados con archivos –
- Presencia de /run/bigtlog.pipe y/o /run/bigstart.ltm.
- No coinciden los hashes de archivos en comparación con versiones buenas conocidas de /usr/bin/umount y/o /usr/sbin/httpd.
- No coinciden los tamaños de archivos o las marcas de tiempo en comparación con versiones buenas y conocidas de /usr/bin/umount y/o /usr/sbin/httpd.
- Cada versión y EHF pueden tener diferentes tamaños de archivo y marcas de tiempo.
- Indicadores relacionados con registros –
- Una entrada en «/var/log/restjavad-audit.
.log» que muestra a un usuario local accediendo a la API REST de iControl desde localhost. - Una entrada en «/var/log/auditd/audit.log.
«que muestra a un usuario local accediendo a la API REST de iControl desde localhost para desactivar SELinux. - Los mensajes de registro en «/var/log/audit» muestran los resultados de un comando que se ejecuta en el registro de auditoría.
- Una entrada en «/var/log/restjavad-audit.
- Otros TTP observados incluyen:
- Modificaciones a los componentes subyacentes en los que se basa el verificador de integridad del sistema, sys-eicheck, lo que resulta en una falla de la herramienta, específicamente /usr/bin/umount y/o /usr/sbin/httpd, lo que indica cambios inesperados en el software del sistema como se mencionó anteriormente.
- Tráfico HTTP/S del sistema BIG-IP que contiene códigos de respuesta HTTP 201 y tipo de contenido CSS para disfrazar las actividades del atacante.
- Cambios en los siguientes tres archivos, aunque su presencia por sí sola no indica un problema de seguridad:
- /var/sam/www/webtop/renderer/apm_css.php3
- /var/sam/www/webtop/renderer/full_wt.php3
- /var/sam/www/webtop/renderer/webtop_popup_css.php3
«Hemos observado casos en los que webshell se escribe en el disco; sin embargo, se ha observado que los webshells funcionan sólo en la memoria, lo que significa que los archivos enumerados anteriormente podrían no modificarse», advirtió F5.
El problema afecta a las siguientes versiones:
- 17.5.0 – 17.5.1 (Corregido en la versión 17.5.1.3)
- 17.1.0 – 17.1.2 (Corregido en la versión 17.1.3)
- 16.1.0 – 16.1.6 (Corregido en la versión 16.1.6.1)
- 15.1.0 – 15.1.10 (Corregido en la versión 15.1.10.8)
A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen hasta el 30 de marzo de 2026 para aplicar las correcciones para proteger sus redes.
«Cuando F5 CVE-2025-53521 surgió por primera vez el año pasado como un problema de denegación de servicio, no indicó inmediatamente urgencia, y muchos administradores de sistemas probablemente le dieron prioridad en consecuencia», dijo el CEO y fundador de watchTowr, Benjamin Harris, en un comunicado compartido con The Hacker News.
«Avanzando rápidamente hasta el gran momento de hoy: la situación ha cambiado significativamente. Lo que estamos observando ahora es la ejecución remota de código previo a la autenticación y evidencia de explotación en estado salvaje, con una lista CISA KEV para respaldarlo. Ese es un perfil de riesgo muy diferente al que se comunicó inicialmente».
Defused Cyber, en una publicación de X, también confirmó que está viendo una «actividad de escaneo aguda» para dispositivos F5 BIG-IP vulnerables luego de la adición de CVE-2025-53521 al catálogo KEV.
«Este actor está accediendo a /mgmt/shared/identified-devices/config/device-info, que es un punto final de F5 BIG-IP REST API utilizado para recuperar información a nivel del sistema, como el nombre de host, la identificación de la máquina y la dirección MAC base», decía.