F5 víctima de brecha de seguridad expuesta a vulnerabilidades altas
El 15 de octubre del 2025 la compañía de ciberseguridad F5 Inc. anunció que sufrió una brecha de seguridad en su red, lo que permitió que atacantes accedieran y robaran tanto código fuente como información sobre vulnerabilidades no reveladas existentes en su producto BIG-IP, una solución usada para la entrega de aplicaciones y gestión de tráfico.
Aunque, de momento, no hay evidencia de que los atacantes hayan compartido o explotado dichas vulnerabilidades, se recomienda actualizar a las versiones parcheadas cuanto antes.
F5 compartió parches para 44 vulnerabilidades: 27 de severidad alta, 16 de severidad media y 1 de severidad baja. A continuación, se detalla sobre las más relevantes.
CVE-2025-53868
Con una puntuación CVSS de 8.7, la vulnerabilidad CVE-2025-53868 facilita que un atacante autenticado con acceso a SCP y SFTP pueda eludir restricciones que tiene el modo Appliance usando comandos que no han sido revelados. Aunque dicho acceso a SCP y SFTP está limitado a usuarios con altos privilegios, esto representa un problema en el plano de control, sin exponer el plano de datos.
CVE-2025-61955 y CVE-2025-57780
Estas vulnerabilidades cuentan con una calificación CVSS de 8.8 y existen en sistemas F5OS-A y F50S-C. Al ser explotadas correctamente podrían permitir que un atacante autenticado eleve sus privilegios usando comandos arbitrarios y eludiendo barreras de seguridad del modo Appliance, incluso contando únicamente con acceso local previamente.
CVE-2025-60016
Esta vulnerabilidad, calificada con un CVSS de 8.7, permite que un atacante remoto no autenticado provoque una condición de denegación de servicio (DoS) en el sistema BIG-IP. Esto ocurre únicamente en dispositivos que tienen configuradas curvas Brainpool de criptografía de curva elíptica (ECC) del grupo Diffie-Hellman (DH) dentro de una regla o grupo de cifrado en un perfil SSL aplicado a un servidor virtual. Esto puede provocar que el proceso Traffic Management Microkernel (TMM) se termine inesperadamente y se reinicie, interrumpiendo así el tráfico normal.
CVE-2025-48008
Asi como la vulnerabilidad detallada anteriormente, esta vulnerablidad cuenta con un CVSS de 8.7 y permite que un atacante sin credenciales despliegue remotamente un ataque DoS en el sistema BIG-IP, provocando que el proceso TMM se finalice. La diferencia es que esto es posible cuando se configura un perfil TCP con TCP de múltiples rutas (MPTCP) en un servidor virtual.
CVE-2025-59781
Esta vulnerabilidad puede ser explotada por un atacante remoto sin necesidad de credenciales cuando se configura una caché DNS en un servidor virtual del producto BIG-IP o BIG-IP Next CNF. Ciertas consultas DNS no reveladas pueden generar un incremento en el uso de recursos de memoria, provocando así una degradación del servicio, que puede derivar en una denegación de servicio (DoS). Esto afecta el rendimiento del sistema a tal punto que el proceso TMM se reinicia automáticamente. Igualmente, se le asigno una puntuación CVSS de 8.7.
CVE-2025-41430
La vulnerabilidad identificada como CVE-2025-41430 y puntuada con un CVSS de 8.7, facilita a que autores maliciosos tengan acceso remoto y no autenticado para generar un ataque DoS en el sistema BIG-IP. Esto es posible siempre y cuando BIG-IP SSL Orchestrator este habilitado, causando que trafico desconocido interrumpa y finalice el proceso TMM.
CVE-2025-55669
Con un CVSS de 8.7, esta vulnerabilidad puede ser explotada remotamente sin autenticación cuando se configuran políticas de seguridad avanzadas WAF y ASM, así como un perfil server-side HTTP/2 en el sistema BIG-IP, afectando así al proceso TMM y al trafico normal debido a nuevas conexiones de clientes.
CVE-2025-61951
Cuando un servidor virtual del sistema BIG-IP tiene una configuración Datagram Transport Layer Security (DTLS) 1.2 y un perfil de Server SSL que cuenta con una llave, certificado y un parámetro SSL Sign Hash configurado como ANY, además de que el servidor backend este habilitado con DTLS 1.2 y se requiere autenticación de cliente, el proceso TMM podría terminarse repentinamente y facilitar un ataque DoS a autores maliciosos remotos no autenticados. Esta vulnerabilidad fue calificada con un CVSS de 8.7.
CVE-2025-55036
Esta vulnerabilidad afecta al microkernel de administración de trafico de BIG-IP SSL, esta falla permite que el rendimiento de se vea comprometido hasta el punto de provocar reinicios en el sistema. Para la explotación exitosa de este CVE los atacantes no necesitan contar con credenciales de autenticación y podrían explotarla remotamente hasta provocar ataques de denegaciones de servicio.
Es importante mencionar que esta vulnerabilidad solo afecta a los productos BIG-IP SSL Orchestrator que están configurados como servidores virtuales con la función de conexión de proxy habilitada. Se le asignado una puntuación de CVSS de 8.7.
CVE-2025-54479
Este CVE afecta el funcionamiento del microkernel de administración de tráfico (TMM) y puede permitir que autores de amenazas ocasionen el reinicio e interrupción de los procesos de TMM. Los productos solo se encuentran vulnerables si se cuenta con la configuración de un perfil de clasificación en servidores virtuales sin HTTP o HTTP/2. Esta vulnerabilidad podría permitir que atacantes se aprovechen del fallo y provoquen ataques de denegación de servicio, sin necesidad de credenciales y de forma remota. Esta falla tiene asignada una puntuación de CVSS de 8.7.
CVE-2025-46706
Esta vulnerabilidad afecta a productos BIP-IP que tienen configurada una iRule con el comando HTTP:: respond en servidores virtuales, solicitudes no reveladas provocar que el sistema consuma mas recursos, lo que ocasionara degradación en el rendimiento hasta que los procesos del microkernel y el sistema en general se reinicien. Este CVE tiene asignada una calificación de CVSS de 8.7, lo que se clasifica como puntuación como vulnerabilidad alta por su criticidad de explotación.
Los atacantes no necesitan contar con credenciales de autentificación y pueden explotarla el CVE de forma remota.
CVE-2025-59478
Esta vulnerabilidad afecta a productos BIG-IP AFM que cuentan con la configuración de perfil de protección de denegación de servicio en servidores virtuales. Esta falla es ocasionada por fallas en el procesamiento de solicitudes de tipo no relevadas, estas solicitudes producen que el funcionamiento del microkernel de administración de datos (TMM) se degrade hasta el punto de reinicios en el sistema. Para la explotación de esta vulnerabilidad los atacantes no necesitan credenciales de autentificación y se posible explotarse de forma remota. Se le asigno una puntuación de CVVS de 8.7.
CVE-2025-61938
Esta vulnerabilidad afecta a productos BIG-IP que están configurados con una directiva de seguridad WAF o ASM avanzada con direcciones URL de más de 1024 caracteres en la aplicación de protección de datos. Atacantes podrían aprovechar la falla para activar configuración URL de protección Data Guard con mas de 1024 caracteres y ocasionar ataques de denegación de servicio en el sistema WAF y ASM.
Para explotarse no se necesitan credenciales y se puede explotar de forma remota, lo que la clasifica como una vulnerabilidad alta con una puntuación de CVSS de 8.7.
CVE-2025-54858
Afecta a productos que están configurados con reglas de seguridad WAF o ASM avanzadas y perfiles con contenidos JSON incorrectos en servidores virtuales. Autores de amenazas pueden aprovechar la vulnerabilidad para enviar solicitudes maliciosas que ocasionaran que reinicios y ataques de denegación de servicio en sistema BIG-IP. Se le asigno una puntuación de CVSS de 8.7, por su criticidad y porque se puede explotar de forma remota sin credenciales.
CVE-2025-58120
Esta vulnerabilidad tiene asignada una puntuación de CVSS de 8.7 clasificándola como alta. Afecta al microkernel de administración de trafico de producto BIG-IP que permiten entrada de solicitudes HTTP/2.
Atacantes remotos sin credenciales podrían aprovechar la falla para enviar múltiples solicitudes maliciosas para provocar reinicios y ataques de denegación de servicio en el sistema.
CVE-2025-53856
Esta vulnerabilidad afecta al microkernel de servidores virtuales, NAT y SNAT que utilizan la función de aceleración de velocidad de paquetes (ePVA) y la configuración de ultimo salto automático deshabilitada. Estas configuraciones en productos BIG-IP pueden provocar que el sistema se reinicie y ataques de denegación de servicio.
Para logra la explotación exitosa del CVE los atacantes no necesitan credenciales de autentificación y puede explotarse de forma remota, por lo que se le asigno una puntuación de CVSS de 8.7.
CVE-2025-61974
Este CVE vuelve vulnerables a servidores virtuales que tienen configurado perfiles SSL, ya que ocasiona fallas en el procesamiento de solicitudes del microkernel de administración de tráfico. Esta vulnerabilidad permite degradación en el rendimiento y ataques de denegación de servicio. Se le asigno una puntuación de CVSS de 8.7.
CVE-2025-58071
Esta vulnerabilidad tiene una calificación CVSS3.1 de 7.5 debido a que cuenta con una baja complejidad de explotación, no se requieren privilegios y puede ser explotada a través de la red. Una variable no inicializada es la que provoca el problema, que puede desencadenar en una terminación del proceso llamado: “Traffic Management Microkernel”, generando una interrupción en el tráfico mientras el proceso se reinicia.
CVE-2025-53521
Cierto tipo de tráfico no revelado, puede provocar que el proceso llamado: “Traffic Management Microkernel”, sea terminado abruptamente, provocando una interrupción en el servicio. Debido al posible impacto que además pueda tener en el sistema, esta vulnerabilidad cuenta con una calificación CVSS3.1 de 8.7.
CVE-2025-61960
Con una calificación CVSS3.1 de 8.7, esta vulnerabilidad puede ser explotada cuando se configura una política por-solicitud en el portal de acceso del servidor virtual BIG-IP APM. Puede ser explotada a causa de tráfico aún no publicado. De nueva cuenta, afecta al proceso llamado: “Traffic Management Microkernel”.
CVE-2025-54854
Esta vulnerabilidad cuenta con una calificación CVSS3.1 de 8.7 y afecta al proceso “apmd”, del Servidor de Recursos (y del Cliente de Recursos). Cuando se configura un perfil de acceso OAuth en BIG-IP APM, un cierto tipo de tráfico sin determinar puede ocasionar que el proceso “apmd” sea terminado abruptamente.
CVE-2025-53474
Esta vulnerabilidad de calificación CVSS3.1 de 8.7 se presenta cuando se configura una regla “iRule” utilizando un comando de llamada “ILX::call” en un servidor virtual, cierto tipo de tráfico puede desencadenar que el proceso “Traffic Management Microkernel” sea terminado de forma abrupta.
CVE-2025-61990
Esta vulnerabilidad, con calificación CVSS3.1 de 8.7, se ve afectada específicamente en plataformas multi-blade (o multi-hoja; cada hoja es una unidad de procesamiento), debido a cierto tipo de tráfico que desencadena una terminación abrupta del proceso “Traffic Management Microkernel”.
CVE-2025-58096
Cuando la variable de base de datos, “tm.tcpudptxchecksum”, es configurada con un valor diferente al que tiene por defecto, en un sistema BIG-IP, cierto tráfico puede provocar que el proceso “Traffic Management Microkernel” termina abruptamente. Esta vulnerabilidad cuenta con una calificación CVSS3.1 de 8.2.
CVE-2025-61935
Esta vulnerabilidad cuenta con una calificación CVSS3.1 de 8.7, y puede ser explotada cuando se configura una política de seguridad del tipo WAF (Cortafuegos de Aplicación Web) o del tipo ASM (Administrador de Seguridad de Aplicaciones) utilizando cierto tipo de peticiones especialmente diseñadas, causando que el proceso “bd” sea terminado abruptamente.
CVE-2025-59778
Esta vulnerabilidad, de calificación CVSS3.1 de 7.7, se presenta cuando se configura la opción “Direcciones IP Permitidas” (o lista blanca) en el panel de control de particiones de F5OS-C, y puede ser explotada con cierto tipo de tráfico especial, causando que múltiples contenedores sean detenidos de forma abrupta.
Versiones Afectadas
CVE-2025-53868 y CVE-2025-53856
| Productos | Versiones afectadas | Versiones corregidas |
| BIG-IP (todos los modulos) | 17.5.0 | 17.5.1 |
| 17.1.0 - 17.1.2 | 17.1.3 | |
| 16.1.0 - 16.1.6 | 16.1.6.1 | |
| 15.1.0 - 15.1.10 | 15.1.10.8 |
CVE-2025-61955 y CVE-2025-57780
| Productos | Versiones afectadas | Versiones corregidas |
| F5OS-A | 1.8.0 |
1.8.3 |
| 1.5.1 - 1.5.3 | 1.5.4 | |
| F5OS-C | 1.8.0 - 1.8.1 | 1.8.2 |
| 1.6.0 - 1.6.2 | 1.6.4 |
CVE-2025-60016
| Productos | Versiones afectadas | Versiones corregidas |
| BIG-IP (all modules) | 17.1.0 - 17.1.1 | 17.1.2 |
| BIG-IP Next SPK | 1.7.0 - 1.9.2 | 2.0.0 |
| BIG-IP Next CNF | 1.1.0 - 1.3.3 | 2.0.0 y 1.4.0 |
CVE-2025-48008
| Productos | Versiones afectadas | Versiones corregidas |
| BIG-IP (all modules) | 17.1.0 - 17.1.2 | 17.1.2.2 |
| 16.1.0 - 16.1.5 | 16.1.6 | |
| 15.1.0 - 15.1.10 | 15.1.10.8 | |
| BIG-IP Next SPK | 1.7.0 - 1.9.2 | No han sido anunciadas de momento, mientras se recomienda migrar a su version más reciente. |
| BIG-IP Next CNF | 1.1.0 - 1.4.1 | No han sido anunciadas de momento, mientras se recomienda migrar a su version más reciente. |
CVE-2025-59781
| Productos | Versiones afectadas | Versiones corregidas |
| BIG-IP (all modules) | 17.1.0 - 17.1.2 | 17.1.2.2 |
| 16.1.0 - 16.1.5 | 16.1.6 | |
| 15.1.0 - 15.1.10 | 15.1.10.8 | |
| BIG-IP Next CNF | 1.1.0 - 1.4.0 | 1.4.0 EHF-34 |
CVE-2025-41430
| Productos | Versiones afectadas | Versiones corregidas |
| BIG-IP SSL Orchestrator | 17.5.0 | 17.5.1 |
| 17.1.0 - 17.1.2 | 17.1.3 | |
| 16.1.0 - 16.1.3 | 16.1.4 | |
| 15.1.0 - 15.1.9 | No han sido anunciadas de momento, mientras se recomienda migrar a su version más reciente. |
CVE-2025-55669
| Productos | Versiones afectadas | Versiones corregidas |
| BIG-IP ASM | 17.1.0 - 17.1.2 | 17.1.2.2 |
| 16.1.0 - 16.1.5 | 16.1.6 |
CVE-2025-61951
| Productos | Versiones afectadas | Versiones corregidas |
| BIG-IP (all modules) | 17.5.0 | 17.5.1 |
| 17.1.0 - 17.1.2 | 17.1.3 | |
| 16.1.0 - 16.1.6 | 16.1.6.1 |
CVE-2025-55036
| Productos | Versiones afectadas | Versiones corregidas |
| BIG-IP PEM | 17.5.0 | 17.5.1 |
| 17.1.0 - 17.1.2 | 17.1.3 | |
| 16.1.0 - 16.1.6 | 16.1.6.1 | |
| 15.1.0 - 15.1.10 | 15.1.10.8 | |
| BIG-IP Próximo CNF | 2.0.0 - 2.1.0 | 2.1.0 EHF-14 |
| 1.1.0 - 1.4.0 | 2.0.2 EHF-24 | |
| 2.0.0 EHF-24 | ||
| 1.4.0 EHF-34 |
CVE-2025-54479
| Productos | Versiones afectadas | Versiones corregidas |
| BIG-IP PEM | 17.5.0 | 17.5.1 |
| 17.1.0 - 17.1.2 | 17.1.3 | |
| 16.1.0 - 16.1.6 | 16.1.6.1 | |
| 15.1.0 - 15.1.10 | 15.1.10.8 | |
| BIG-IP Próximo CNF | 2.0.0 - 2.1.0 | 2.1.0 EHF-14 |
| 1.1.0 - 1.4.0 | 2.0.2 EHF-24 | |
| 2.0.0 EHF-24 | ||
| 1.4.0 EHF-34 | ||
| BIG-IP Next para Kubernetes | 2.0.0 - 2.1.0 | 2.1.0 EHF-24 |
CVE-2025-46706
| Productos | Versiones afectadas | Versiones corregidas |
| BIG-IP (todos los módulos) | 17.1.0 - 17.1.2 | 17.1.2.2 |
| 16.1.0 - 16.1.5 | 16.1.6 | |
| BIG-IP Siguiente SPK | 1.7.0 - 1.9.2 | 2.0.0 |
| 1.7.14 EHF-24 | ||
| BIG-IP Próximo CNF | 1.1.0 - 1.4.1 | 2.0.0 |
| 1.4.0 EHF-34 |
CVE-2025-59478, CVE-2025-61938 y CVE-2025-54858
| Productos | Versiones afectadas | Versiones corregidas |
| BIG-IP AFM | 17.5.0 | 17.5.1 |
| 17.1.0 - 17.1.2 | 17.1.3 | |
| 15.1.0 - 15.1.10 | 15.1.10.8 |
CVE-2025-58120
| Productos | Versiones afectadas | Versiones corregidas |
| BIG-IP Siguiente SPK | 2.0.0 | 2.0.1 |
| 1.7.0 - 1.7.14 | 1.7.14 EHF-24 | |
| BIG-IP Próximo CNF | 2.0.0 | 2.0.1 |
| 1.1.0 - 1.4.1 | ||
| BIG-IP Next para Kubernetes | 2.0.0 | 2.1.0 |
CVE-2025-61974
| Productos | Versiones afectadas | Versiones corregidas | ||
| BIG-IP Próximo CNF | 2.0.0 - 2.1.0 | 2.1.0 EHF-14 | ||
| 1.1.0 - 1.4.1 | 2.0.2 EHF-24 | |||
| 2.0.0 EHF-24 | ||||
| 1.4.0 EHF-34 | ||||
| BIG-IP Next para Kubernetes | 2.0.0 - 2.1.0 | 2.1.0 EHF-14 | ||
| F5 Silverline (todos los servicios) | No aplicable | No aplicable | ||
CVE-2025-58071
| Productos | Versiones afectadas | Versiones corregidas |
| BIG-IP | 15.1.10 | 17.5.1 |
| BIG-IP Next CNF | Desde 1.1.0 y desde 2.0.0, en adelante | 1.4.0-EHF-3, 2.0.0.EHF.2, 2.0.2-EHF-2, 2.1.0-EHF-1 |
| BIG-IP Next for Kubernetes | 2.0.0 | 2.1.0-EHF-1 |
CVE-2025-53521, CVE-2025-61960, CVE-2025-54854 y CVE-2025-53474
| Productos | Versiones afectadas | Versiones corregidas |
| BIG-IP | 17.5.0 | 17.5.1.3 |
CVE-2025-61990
| Productos | Versiones afectadas | Versiones corregidas |
| BIG-IP | 15.1.0 | 17.5.1.3 |
| BIG-IP Next SPK | 1.7.0 – 2.0.0 | 1.7.14-EHF-2, 2.0.0.EHF.2, 2.0.2-EHF-2, 2.1.0-EHF-1 |
| BIG-IP Next CNF | Desde 1.1.0 y desde 2.0.0 | 1.4.0-EHF-3, 2.0.0.EHF.2, 2.0.2-EHF-2, 2.1.0-EHF-1 |
| BIG-IP Next for Kubernetes | 2.0.0 | 2.1.0-EHF-1 |
CVE-2025-61935
| Productos | Versiones afectadas | Versiones corregidas |
| BIG-IP | 17.5.0 | 17.5.1 |
CVE-2025-59778
| Productos | Versiones afectadas | Versiones corregidas |
| F5OS - Chassis | 1.8.0 | 1.8.2 |
Recomendaciones
- Aplicar urgentemente el versiones corregidas
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactor.
Referencias
- MyF5. (2025, Octubre 15). Recuperado el 17 de Octubre del 2025, en https://my.f5.com/manage/s/article/K000156572
- Galtan, S. (2025, Octubre 17). BleepingComputer. Recuperado el 17 de Octubre del 2025, en https://www.bleepingcomputer.com/news/security/over-266-000-f5-big-ip-instances-exposed-to-remote-attacks/
