Vulnerabilidad crítica en F5 BIG-IP APM explotada activamente con riesgo de ejecución remota de código

f5
Empresas
Administración pública
Vulnerabilidades
Nivel de alerta
Crítico

Se ha identificado explotación activa de la vulnerabilidad CVE-2025-53521 que afecta a F5 BIG-IP Access Policy Manager (APM), un componente ampliamente desplegado en entornos corporativos y públicos para autenticación, control de acceso y publicación segura de aplicaciones.

El fallo permite ejecución remota de código sin autenticación, lo que implica el compromiso del sistema sin interacción previa del usuario.

La vulnerabilidad afecta a sistemas con APM configurado en servidores virtuales y también al modo Appliance.

Versiones afectadas:

  • 17.5.0 – 17.5.1
  • 17.1.0 – 17.1.2
  • 16.1.0 – 16.1.6
  • 15.1.0 – 15.1.10



Versiones corregidas:

  • 17.5.1.3
  • 17.1.3
  • 16.1.6.1
  • 15.1.10.8


Impacto
La explotación afecta a un activo perimetral crítico que gestiona autenticación y acceso, por lo que puede permitir:

  • ejecución remota de código
  • acceso inicial privilegiado
  • manipulación de sesiones
  • movimiento lateral en la red
  • exfiltración de información



Cadena de ataque (simplificada)

  1. Identificación de dispositivos expuestos
  2. Envío de tráfico malicioso
  3. Ejecución remota de código
  4. Control del dispositivo
  5. Acceso a sistemas internos


Indicadores técnicos relevantes

  • ejecución de código en memoria
  • webshells en algunos casos
  • modificaciones en el sistema
  • desactivación de mecanismos de protección
  • tráfico saliente anómalo


La ejecución en memoria dificulta la detección basada en artefactos persistentes.

Medidas recomendadas

  • Aplicar actualizaciones de seguridad de forma inmediata
  • Identificar sistemas BIG-IP con APM expuesto
  • Revisar logs y actividad anómala
  • Verificar la integridad del sistema
  • Monitorizar tráfico saliente
  • Reducir exposición externa si no se puede parchear


Análisis de riesgo
No se trata solo de una vulnerabilidad, sino de un riesgo en un punto de control de acceso.

Estos sistemas gestionan identidad, sesiones y acceso a red.
Su compromiso puede afectar directamente al modelo de seguridad de la organización.

Evaluación final
Escenario de riesgo elevado en organizaciones con BIG-IP APM expuesto.

 

La criticidad no reside únicamente en la vulnerabilidad técnica sino en la capacidad de comprometer el plano de acceso y autenticación de la organización.
 

La mitigación debe abordarse como una prioridad estratégica de seguridad.

Mapeo MITRE ATT&CK (referencia técnica)

  • T1190 – Exploit Public-Facing Application
  • T1059 – Command and Scripting Interpreter
  • T1505.003 – Web Shell
  • T1562 – Impair Defenses
  • T1070 – Indicator Removal on Host
  • T1021 – Remote Services
  • T1078 – Valid Accounts

Información relacionada

Enlaces de interés
CVE-2025-53521 | INCIBE-CERT | INCIBE