La vulnerabilidad fue reclasificada de DoS a ejecución remota de código tras confirmarse explotación activa. Agencias federales tienen plazo hasta el 30 de marzo para aplicar parches.
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) añadió el viernes 27 de marzo la vulnerabilidad CVE-2025-53521 a su catálogo de vulnerabilidades explotadas conocidamente (KEV), confirmando que actores de amenazas están explotando activamente este fallo en dispositivos F5 BIG-IP Access Policy Manager (APM).
La vulnerabilidad, que obtiene una puntuación CVSS de 9.3, permite ejecución remota de código sin necesidad de autenticación previa, lo que la convierte en un objetivo de alto valor para atacantes que buscan comprometer el perímetro de redes empresariales. Las agencias federales de la rama ejecutiva civil tienen un plazo perentorio de tres días, hasta el 30 de marzo, para aplicar los parches correspondientes según la Directiva Operativa Vinculante 22-01.
El fallo afecta específicamente al módulo APM de F5 BIG-IP cuando una política de acceso está configurada en un servidor virtual. Según la descripción oficial en el catálogo KEV, "F5 BIG-IP APM contiene una vulnerabilidad no especificada que podría permitir a un actor de amenazas lograr ejecución remota de código". Las versiones comprometidas incluyen:
F5 ha publicado las versiones corregidas 17.5.1.3, 17.1.3, 16.1.6.1 y 15.1.10.8, disponibles a través del portal de soporte de F5. La compañía ha confirmado que "esta vulnerabilidad permite a un atacante no autenticado realizar ejecución remota de código" y que "el sistema BIG-IP en modo Appliance también es vulnerable".
Lo que hace especialmente crítica esta alerta es la dramática reclasificación de la severidad. Cuando CVE-2025-53521 se reveló inicialmente en octubre de 2025, se clasificó como una vulnerabilidad de denegación de servicio (DoS) con un CVSS de 8.7, un perfil de riesgo que muchos administradores de sistemas habrían priorizado de forma diferente en sus ciclos de parches.
Fue solo en marzo de 2026, tras obtener "nueva información", que F5 reclasificó el fallo como una vulnerabilidad de ejecución remota de código crítica. Esta evolución recuerda a los analistas que las evaluaciones iniciales de severidad pueden cambiar radicalmente cuando se descubre explotación real en el campo.
F5 ha publicado indicadores de compromiso (IOCs) detallados que los equipos de seguridad deben monitorear activamente. Entre los indicadores de actividad maliciosa se encuentran: la presencia de archivos no autorizados como /run/bigtlog.pipe y /run/bigstart.ltm, discrepancias en los hashes de los archivos /usr/bin/umount y /usr/sbin/httpd comparados con versiones conocidas limpias y entradas de log que muestran usuarios locales accediendo a la API REST de iControl desde localhost para deshabilitar SELinux.
Adicionalmente, los atacantes han utilizado tráfico HTTP/S saliente que contiene códigos de respuesta HTTP 201 y cabeceras content-type CSS para disfrazar sus actividades. Investigadores de Defused Cyber han confirmado que ya observan "actividad de escaneo aguda" dirigida al endpoint /mgmt/shared/identified-devices/config/device-info de la API REST de F5 BIG-IP para fingerprinting de sistemas vulnerables.
Para organizaciones en América Latina donde F5 BIG-IP es ampliamente utilizado en sectores financieros, telecomunicaciones y gobierno, esta vulnerabilidad representa un riesgo significativo. Los dispositivos BIG-IP operan en posiciones estratégicas del perímetro de red, funcionando como balanceadores de carga, controladores de entrega de aplicaciones y puertas de enlace de políticas de acceso. Un atacante que comprometa exitosamente estos appliances obtiene una posición privilegiada para interceptar tráfico sensible, manipular solicitudes de aplicaciones, cosechar credenciales y utilizar el dispositivo comprometido como punto de pivote hacia la red corporativa interna.
Las herramientas EDR estándar tienen visibilidad limitada sobre estos dispositivos de red perimetral, lo que dificulta la detección de actividad post-explotación. CISA recomienda aplicar parches inmediatamente, auditar las configuraciones de políticas de acceso en servidores virtuales, revisar los IOCs publicados y si el parcheo no es viable de inmediato, desconectar temporalmente los productos BIG-IP vulnerables hasta implementar una corrección segura.
FUENTE ORIGINAL
CISA↗CURADO POR
Santiago Torres