Freym PC Blog

Vulnerabilidad crítica en F5 BIG-IP APM

Admin
April 28, 2026
Vulnerabilidad crítica en F5 BIG-IP APM
Translate to:
Comparativa de herramientas LLM locales

CVE-2025-53521 es una vulnerabilidad crítica en F5 BIG-IP APM que inicialmente se publicó como DoS, pero más tarde F5 la reclasificó como RCE no autenticada tras observar explotación real.

Qué es

  • Afecta a F5 BIG-IP Access Policy Manager (APM) cuando hay una access policy configurada en un virtual server.
  • El resultado es Remote Code Execution a través de tráfico malicioso específico, sin necesidad de autenticación previa.
  • También se indica que el sistema en Appliance mode es vulnerable.

Severidad y estado

  • La vulnerabilidad fue reclasificada en marzo de 2026: de DoS a RCE, con puntuaciones publicadas de CVSS 9.8 (v3.1) y 9.3 (v4.0).
  • CISA la añadió al catálogo KEV el 27 de marzo de 2026, confirmando explotación activa en la naturaleza.
  • NCSC de Reino Unido y Nueva Zelanda también emitieron avisos específicos indicando explotación activa y recomendando investigación forense incluso si el sistema ya fue parcheado.

Método de explotación

  • El atacante envía tráfico malicioso cuidadosamente formado al plano de acceso de BIG-IP APM, aprovechando el componente apmd que procesa tráfico en tiempo real.
  • El objetivo es obtener ejecución de código en el sistema BIG-IP, lo que permite controlar el dispositivo de perímetro y su política de acceso.
  • Informes de respuesta a incidentes señalan incluso webshells en memoria y modificaciones de componentes de integridad del sistema.

Impacto operativo

  • BIG-IP APM suele actuar como punto de SSO, MFA, acceso remoto y publicación de aplicaciones, así que un compromiso puede afectar a muchos usuarios y servicios de golpe.
  • Si el atacante obtiene control del appliance, puede manipular políticas de acceso, interceptar sesiones o alterar el acceso a aplicaciones críticas.

Versiones afectadas

  • Se citan como afectadas ramas de 17.x, 16.x y 15.x, con rangos concretos en los avisos de F5 y organismos nacionales.
  • F5 publicó fixes en octubre de 2025, y las versiones corregidas siguen siendo válidas para cerrar la RCE.

Mitigación

  • Parchar a una versión corregida de F5 lo antes posible.
  • Revisar exposición de los virtual servers con APM y restringir el acceso administrativo a redes de gestión o VPN.
  • Buscar IoCs y realizar investigación forense aunque el parche ya esté aplicado, porque NCSC y F5 advierten que puede haber compromiso previo.
  • Rotar credenciales/tokens si el appliance gestionaba acceso remoto o SSO y estuvo expuesto.

Prioridad práctica

Si usas F5 BIG-IP APM en acceso remoto, SSO o publicación de apps, yo lo trataría como prioridad crítica inmediata.

Comments (0)

No comments yet. Be the first to comment!