CISA agrega CVE-2025-53521 a KEV después de la explotación activa de F5 BIG-IP APM

Por:
En:
En: Noticias
Etiquetado: , , , , , , , ,
Con: 0 comentarios

Ravie Lakshmanan28 de marzo de 2026Vulnerabilidad/Seguridad de Red

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el viernes agregado una falla de seguridad crítica que afecta al Administrador de políticas de acceso (APM) de F5 BIG-IP a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

La vulnerabilidad en cuestión es CVE-2025-53521 (Puntuación CVSS v4: 9,3), lo que podría permitir a un actor de amenazas lograr la ejecución remota de código.

«Cuando se configura una política de acceso BIG-IP APM en un servidor virtual, el tráfico malicioso específico puede conducir a la ejecución remota de código (RCE)», según una descripción de la falla en CVE.org.

Si bien la deficiencia fue inicialmente categorizada y remediada como una vulnerabilidad de denegación de servicio (DoS) con una puntuación CVSS v4 de 8,7, F5 dijo que ha sido reclasificada como un caso de RCE a la luz de «nueva información obtenida en marzo de 2026».

La empresa desde entonces actualizado su aviso para confirmar que la vulnerabilidad «ha sido explotada en las versiones vulnerables de BIG-IP». No compartió ningún detalle adicional sobre quién puede estar detrás de la actividad de explotación.

Ciberseguridad

Sin embargo, F5 compartió un número de indicadores que se puede utilizar para evaluar si el sistema ha sido comprometido –

  • Indicadores relacionados con archivos –
    • Presencia de /run/bigtlog.pipe y/o /run/bigstart.ltm.
    • No coinciden los hashes de archivos en comparación con versiones buenas conocidas de /usr/bin/umount y/o /usr/sbin/httpd.
    • No coinciden los tamaños de archivos o las marcas de tiempo en comparación con versiones buenas y conocidas de /usr/bin/umount y/o /usr/sbin/httpd.
    • Cada versión y EHF pueden tener diferentes tamaños de archivo y marcas de tiempo.
  • Indicadores relacionados con registros –
    • Una entrada en «/var/log/restjavad-audit..log» que muestra a un usuario local accediendo a la API REST de iControl desde localhost.
    • Una entrada en «/var/log/auditd/audit.log.«que muestra a un usuario local accediendo a la API REST de iControl desde localhost para desactivar SELinux.
    • Los mensajes de registro en «/var/log/audit» muestran los resultados de un comando que se ejecuta en el registro de auditoría.
  • Otros TTP observados incluyen:
    • Modificaciones a los componentes subyacentes que el verificador de integridad del sistema, sys-eicheckse basa, lo que resulta en una falla de la herramienta, específicamente /usr/bin/umount y/o /usr/sbin/httpd, lo que indica cambios inesperados en el software del sistema como se mencionó anteriormente.
    • Tráfico HTTP/S del sistema BIG-IP que contiene códigos de respuesta HTTP 201 y tipo de contenido CSS para disfrazar las actividades del atacante.
    • Cambios en los siguientes tres archivos, aunque su presencia por sí sola no indica un problema de seguridad:
      • /var/sam/www/webtop/renderer/apm_css.php3
      • /var/sam/www/webtop/renderer/full_wt.php3
      • /var/sam/www/webtop/renderer/webtop_popup_css.php3

«Hemos observado casos en los que webshell se escribe en el disco; sin embargo, se ha observado que los webshells funcionan sólo en la memoria, lo que significa que los archivos enumerados anteriormente podrían no modificarse», advirtió F5.

Ciberseguridad

El problema afecta a las siguientes versiones:

  • 17.5.0 – 17.5.1 (Corregido en la versión 17.5.1.3)
  • 17.1.0 – 17.1.2 (Corregido en la versión 17.1.3)
  • 16.1.0 – 16.1.6 (Corregido en la versión 16.1.6.1)
  • 15.1.0 – 15.1.10 (Corregido en la versión 15.1.10.8)

A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen hasta el 30 de marzo de 2026 para aplicar las correcciones para proteger sus redes.

«Cuando F5 CVE-2025-53521 surgió por primera vez el año pasado como un problema de denegación de servicio, no indicó inmediatamente urgencia, y muchos administradores de sistemas probablemente le dieron prioridad en consecuencia», dijo el CEO y fundador de watchTowr, Benjamin Harris, en un comunicado compartido con The Hacker News.

«Avanzando rápidamente hasta el gran momento de hoy: la situación ha cambiado significativamente. Lo que estamos observando ahora es la ejecución remota de código previo a la autenticación y evidencia de explotación en estado salvaje, con una lista CISA KEV para respaldarlo. Ese es un perfil de riesgo muy diferente al que se comunicó inicialmente».

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *