F5 Networks – Critical vulnerability F5 BIG-IP y BIG-IQ
Admin
October 17, 2025
Translate to:
En la última semana, F5 Networks ha sido noticia por una grave brecha de seguridad y la publicación de múltiples parches críticos para sus productos, especialmente la gama BIG-IP. El incidente es especialmente relevante por el robo de código fuente y la exposición de vulnerabilidades no divulgadas, implicando riesgos “catastróficos” para miles de infraestructuras a nivel global.
Resumen de la situación y riesgos
1. Brecha y robo de código
- En agosto 2025, F5 detectó el acceso persistente de un grupo sofisticado vinculado a un estado nación (China según reportes privados), que logró robar parte de su código fuente y detalles internos de vulnerabilidades de productos BIG-IP y F5OS.
- El ataque implicó la exfiltración de información sobre vulnerabilidades aún no parcheadas en sistemas F5.
- No se ha detectado, hasta ahora, manipulación del sistema de oficinas del cliente (CRM), pipeline de desarrollo, ni acceso o alteración a los sistemas NGINX, Distributed Cloud Services y Silverline.
2. Vulnerabilidades relevantes reveladas y parcheadas
CVE-2025-53868 (BIG-IP SCP/SFTP)
- Severidad: CVSS 8.7
- Permite ataques de alto impacto, incluyendo filtración de datos y movimiento lateral en infraestructuras empresariales.
CVE-2025-61955 y CVE-2025-57780 (F5OS)
- Severidad: CVSS hasta 8.8 en modo appliance.
- Riesgo de compromiso total de la plataforma F5OS-A y F5OS-C en entornos críticos.
Historial de ataques previos
- CVE-2023-46747: Autenticación bypass en la interfaz TMUI de BIG-IP. Explotada por UNC5174 para crear cuentas administradoras de puerta trasera y ejecutar comandos.
- CVE-2022-1388: iControl REST authentication bypass, explotada por UNC3886 y Fire Ant para implantar shells web, túneles y ejecución remota.
3. Impacto global
- Más de 266.000 sistemas F5 BIG-IP están expuestos en internet y pueden ser vulnerables si no se actualizan.
- El 90% de los sistemas observados ejecutan BIG-IP Local Traffic Manager (LTM) o Access Policy Manager (APM), con muchos dispositivos sin parchear activos en EEUU, Alemania, Francia, Japón, China y otros.
- El incidente disparó alertas del US Cybersecurity Agency y el UK National Cyber Security Centre sobre posibles riesgos de explotación masiva y campañas de ransomware dirigidas.
Recomendaciones de mitigación
- Aplicar urgentemente los paquetes de actualización publicados el 15 y 16 de octubre de 2025 para BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ y clientes APM.
- Activar el streaming de eventos BIG-IP hacia sistemas SIEM y syslog para monitorizar intentos de acceso, privilegios y cambios en configuración.
- Revisar guías de threat hunting y alertas sobre malware Brickstorm y actividad del grupo UNC5291/Velvet Ant.
- Auditar exposiciones de control administrativo, reforzar autenticación y deshabilitar interfaces no necesarias.
Tabla técnica de referencia
| Vulnerabilidad | Producto Afectado | CVSS/Impacto | Vector de ataque | Estado del parche |
|---|---|---|---|---|
| CVE-2025-53868 | BIG-IP | 8.7 (crítico) | SCP/SFTP | Parche disponible |
| CVE-2025-61955/57780 | F5OS | 8.8 (crítico) | Appliance Mode | Parche disponible |
| CVE-2023-46747 (histórico) | BIG-IP TMUI | 9.8 (explotado) | Auth bypass, admin creation | Parche disponible |
| CVE-2022-1388 (histórico) | BIG-IP iControl | 9.8 (explotado) | REST bypass, shell web | Parche disponible |
Conclusión: La brecha y revelación en F5 aumenta el riesgo para decenas de miles de infraestructuras críticas. El parcheo inmediato y la monitorización avanzada son esenciales para minimizar la ventana de exposición ante posibles campañas de ransomware y espionaje estatal.
Comments (0)
No comments yet. Be the first to comment!