Vulnerabilidade crítica en F5 BIG-IP APM explotada activamente con risco de execución remota de código

f5
Empresas
Administración Pública
Vulnerabilidades
Nivel de alerta
Crítico

Identificouse explotación activa da vulnerabilidade CVE-2025-53521 que afecta a F5 BIG-IP Access Policy Manager (APM), un compoñente amplamente empregado para autenticación, control de acceso e publicación segura de aplicacións.

O fallo permite execución remota de código sen autenticación, o que implica compromiso do sistema sen interacción previa do usuario.

A vulnerabilidade afecta a sistemas con APM configurado en servidores virtuais e tamén ao modo Appliance.

Versións afectadas:

  • 17.5.0 – 17.5.1
  • 17.1.0 – 17.1.2
  • 16.1.0 – 16.1.6
  • 15.1.0 – 15.1.10


Versións corrixidas:

  • 17.5.1.3
  • 17.1.3
  • 16.1.6.1
  • 15.1.10.8


Impacto
A explotación afecta a un activo perimetral crítico que xestiona autenticación e acceso, polo que pode permitir:

  • execución remota de código
  • acceso inicial privilexiado
  • manipulación de sesións
  • movemento lateral na rede
  • exfiltración de información


Cadea de ataque (simplificada)

  1. Identificación de dispositivos expostos
  2. Envío de tráfico malicioso
  3. Execución remota de código
  4. Control do dispositivo
  5. Acceso a sistemas internos


Indicadores técnicos relevantes

  • execución de código en memoria
  • webshells en algúns casos
  • modificacións no sistema
  • desactivación de mecanismos de protección
  • tráfico saínte anómalo


A execución en memoria dificulta a detección baseada en artefactos persistentes.

Medidas recomendadas

  • Aplicar actualizacións de seguridade de forma inmediata
  • Identificar sistemas BIG-IP con APM exposto
  • Revisar rexistros e actividade anómala
  • Verificar integridade do sistema
  • Monitorizar tráfico saínte
  • Reducir exposición externa se non se pode parchear


Análise de risco
Non se trata só dunha vulnerabilidade, senón dun risco nun punto de control de acceso.

Estes sistemas xestionan identidade, sesións e acceso á rede.
O seu compromiso pode afectar directamente ao modelo de seguridade da organización.

Avaliación

Escenario de risco elevado en organizacións con BIG-IP exposto.

A prioridade debe centrarse en parcheo inmediato, verificación de compromiso e control da exposición.

Mapeamento MITRE ATT&CK (referencia técnica)

  • T1190 – Exploit Public-Facing Application
  • T1059 – Command and Scripting Interpreter
  • T1505.003 – Web Shell
  • T1562 – Impair Defenses
  • T1070 – Indicator Removal on Host
  • T1021 – Remote Services
  • T1078 – Valid Accounts

Información relacionada

Ligazóns de interese
CVE-2025-53521 | INCIBE-CERT | INCIBE