La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes una equivocación de seguridad crítica que afecta a F5 BIG-IP Access Policy Manager (APM) a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2025-53521 (Puntuación CVSS v4: 9,3), lo que podría permitir a un actor de amenazas conquistar la ejecución remota de código.
“Cuando se configura una política de camino BIG-IP APM en un servidor potencial, el tráfico zorro específico puede conducir a la ejecución remota de código (RCE)”, según una descripción de la equivocación en CVE.org.
Si admisiblemente la deficiencia fue inicialmente categorizada y remediada como una vulnerabilidad de denegación de servicio (DoS) con una puntuación CVSS v4 de 8,7, F5 dijo que ha sido reclasificada como un caso de RCE a la luz de “nueva información obtenida en marzo de 2026”.
Desde entonces, la compañía actualizó su aviso para confirmar que la vulnerabilidad “ha sido explotada en las versiones vulnerables de BIG-IP”. No compartió ningún detalle adicional sobre quién puede estar detrás de la actividad de explotación.
Sin secuestro, F5 publicó una serie de indicadores que se pueden utilizar para evaluar si el sistema se ha manido comprometido:
- Indicadores relacionados con archivos –
- Presencia de /run/bigtlog.pipe y/o /run/bigstart.ltm.
- No coinciden los hashes de archivos en comparación con versiones buenas conocidas de /usr/bin/umount y/o /usr/sbin/httpd.
- No coinciden los tamaños de archivos o las marcas de tiempo en comparación con versiones buenas y conocidas de /usr/bin/umount y/o /usr/sbin/httpd.
- Cada traducción y EHF pueden tener diferentes tamaños de archivo y marcas de tiempo.
- Indicadores relacionados con registros –
- Una entrada en “/var/log/restjavad-audit.
.log” que muestra a un adjudicatario lugar accediendo a la API REST de iControl desde localhost. - Una entrada en “/var/log/auditd/audit.log.
“que muestra a un adjudicatario lugar accediendo a la API REST de iControl desde localhost para desactivar SELinux. - Los mensajes de registro en “/var/log/audit” muestran los resultados de un comando que se ejecuta en el registro de auditoría.
- Una entrada en “/var/log/restjavad-audit.
- Otros TTP observados incluyen:
- Modificaciones a los componentes subyacentes en los que se base el verificador de integridad del sistema, sys-eicheck, lo que resulta en una equivocación de la utensilio, específicamente /usr/bin/umount y/o /usr/sbin/httpd, lo que indica cambios inesperados en el software del sistema como se mencionó anteriormente.
- Tráfico HTTP/S del sistema BIG-IP que contiene códigos de respuesta HTTP 201 y tipo de contenido CSS para disfrazar las actividades del atacante.
- Cambios en los siguientes tres archivos, aunque su presencia por sí sola no indica un problema de seguridad:
- /var/sam/www/webtop/renderer/apm_css.php3
- /var/sam/www/webtop/renderer/full_wt.php3
- /var/sam/www/webtop/renderer/webtop_popup_css.php3
“Hemos observado casos en los que webshell se escribe en el disco; sin secuestro, se ha observado que los webshells funcionan sólo en la memoria, lo que significa que los archivos enumerados anteriormente podrían no modificarse”, advirtió F5.
El problema afecta a las siguientes versiones:
- 17.5.0 – 17.5.1 (Corregido en la traducción 17.5.1.3)
- 17.1.0 – 17.1.2 (Corregido en la traducción 17.1.3)
- 16.1.0 – 16.1.6 (Corregido en la traducción 16.1.6.1)
- 15.1.0 – 15.1.10 (Corregido en la traducción 15.1.10.8)
A la luz de la explotación activa, las agencias del Poder Ejecutante Civil Federal (FCEB) tienen hasta el 30 de marzo de 2026 para aplicar las correcciones para proteger sus redes.
“Cuando F5 CVE-2025-53521 surgió por primera vez el año pasado como un problema de denegación de servicio, no indicó inmediatamente aprieto, y muchos administradores de sistemas probablemente le dieron prioridad en consecuencia”, dijo el CEO y fundador de watchTowr, Benjamin Harris, en un comunicado compartido con The Hacker News.
“Avanzando rápidamente hasta el gran momento de hoy: la situación ha cambiado significativamente. Lo que estamos observando ahora es la ejecución remota de código previo a la autenticación y evidencia de explotación en estado salvaje, con una cinta CISA KEV para respaldarlo. Ese es un perfil de aventura muy diferente al que se comunicó inicialmente”.
Defused Cyber, en una publicación de X, todavía confirmó que está viendo una “actividad de escaneo aguda” para dispositivos F5 BIG-IP vulnerables luego de la aditamento de CVE-2025-53521 al catálogo KEV.
“Este actor está accediendo a /mgmt/shared/identified-devices/config/device-info, que es un punto final de F5 BIG-IP REST API utilizado para recuperar información a nivel del sistema, como el nombre de host, la identificación de la máquina y la dirección MAC pulvínulo”, decía.
