Incidente de seguridad en la empresa F5 y publicación de actualizaciones de seguridad

ciberseguridad
Empresas
Administración pública
Servidores
Nivel de alerta
Alto

El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación por parte de F5 de un comunicado oficial en el que confirma el compromiso de sus sistemas internos y el robo de información confidencial por parte de un actor patrocinado por un Estado.

Entre los datos sustraídos se encontrarían fragmentos de código fuente de productos BIG-IP, así como detalles técnicos de vulnerabilidades no parcheadas en el momento del incidente.

Esta información podría ser utilizada por el atacante para:

  • Desarrollar exploits dirigidos contra dispositivos F5.
  • Extraer datos sensibles de los sistemas afectados.
  • Establecer accesos persistentes en infraestructuras críticas.


Según la información disponible, el incidente se relacionaría con el grupo BRICKSTORM, una amenaza avanzada especializada en el compromiso de entornos difíciles de monitorizar, como servidores VMware ESX o hipervisores en entornos virtualizados.

Vulnerabilidades publicadas

F5 ha publicado un total de 43 vulnerabilidades, clasificadas de la siguiente forma:

  • 27 de severidad alta
  • 15 de severidad media
  • 1 de severidad baixa

La compañía ha liberado los parches correspondientes y ha aclarado que ninguna de las vulnerabilidades permite ejecución remota de código directamente sobre los dispositivos.

Productos afectados

Se han identificado los siguientes productos y componentes potencialmente afectados:

  •  BIG-IP, todos los módulos
  • F5OS-A
  • F5OS-C
  • BIG-IP Next SPK
  • BIG-IP Next CNF
  • BIG-IP SSL Orchestrator
  • BIG-IP PEM
  • BIG-IP Next for Kubernetes
  • BIG-IP AFM
  • BIG-IP Advanced WAF / ASM
  • F5 Silverline, todos los servicios
  • BIG-IP APM, APM con SWG, SSL Orchestrator, SSL Orchestrator con SWG
  • NGINX App Protect WAF

Recomendaciones

El CCN-CERT recomienda a todas las organizaciones llevar a cabo de inmediato las siguientes acciones preventivas y correctivas:

  1. Actualizar todos los dispositivos F5 a las versiones corregidas indicadas en la notificación trimestral de octubre de 2025.
  2. Inventariar todos los dispositivos y sistemas F5 (hardware, software y virtuales), revisando:
    • Registros de acceso y eventos de configuración.
    • Cambios anómalos.
    • Actividad de APIs asociadas.
  3. Monitorizar indicios de compromiso en infraestructuras relacionadas con F5.
  4. Contactar de inmediato con el F5 Security Incident Response Team o con el CCN-CERT ante cualquier indicio de intrusión o anomalía.

Información relacionada

Enlaces de interés
F5
CCN