Vulnerabilidad en F5 Bajo Explotación

Publicado hace 2 meses 31-03-2026

La Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) publicó una alerta crítica sobre la explotación activa de una vulnerabilidad encontrada en sistemas BIG-IP de F5. Los dispositivos de F5 suelen estar ubicados en la “frontera”, es decir, están expuestos a internet, ignorando controles internos de seguridad en las organizaciones, además de ser objetivos valiosos para los actores maliciosos, pues suelen actuar como balanceadores de carga, firewalls o gateways de aplicaciones.

La vulnerabilidad, identificada con CVE-2025-53521, que inicialmente tuvo una calificación 7.5 escaló a 9.8 (puntajes obtenidos de CVSS3.1), pasando a ser una vulnerabilidad de severidad crítica debido a nueva información recibida por F5, siendo publicada el mismo día en el catálogo de vulnerabilidad explotadas de CISA. Además de contar con una calificación previa de 7.5, la vulnerabilidad tenía la clasificación de DoS (denegación de servicio), por lo cual no todas las organizaciones la consideraron de urgencia, pero con esta nueva reclasificación, es posible que las organizaciones que no hayan aplicado las correcciones correspondientes hayan sido vulneradas por actores maliciosos.

Aunque solamente las instancias de BIG-IP APM configuradas en servidores virtuales se ven afectadas por esta vulnerabilidad, la explotación exitosa de esta podría otorgar a atacantes obtener acceso de nivel root (el más privilegiado) en el sistema base y así tomar control completo del mismo. Es importante resaltar que la vulnerabilidad puede ser explotada de forma remota y no se requiere autenticación previa para poder hacerlo.
Análisis realizados por Shadowserver informan que hay cerca de 240,000 instancias de BIG-IP expuestas en internet, sin un conteo de cuántas de ellas podrían ser vulnerables.

Las organizaciones afectadas por esta vulnerabilidad no solo deben actualizar las instancias vulnerables, sino que también deberán realizar auditorías para determinar si la vulnerabilidad ha sido explotada en sus ambientes.
 

Versiones Afectadas

Productos Versiones Afectadas Versiones Corregidas
BIG-IP Desde la versión 17.5.0 hasta la versión 17.5.1.2
Desde la versión 17.1.0 hasta la versión 17.1.2
Desde la versión 16.1.0 hasta la versión 16.1.6.0
Desde la versión 15.1.0 hasta la versión 15.1.10.7		 Versión 17.5.1.3 en adelante
Versión 17.1.3 en adelante
Versión 16.1.6.1 en adelante
Versión 15.1.10.8 en adelante

Recomendaciones

  • Actualizar inmediatamente las instancias vulnerables.
  • Realizar un análisis de registros previos en el sistema en búsqueda de patrones como: nombre de usuario: “f5hubblelcdadmin”, acceso a la REST API iControl desde localhost, comandos para deshabilitar SELinux, entre otros.
  • Realizar una auditoría para determinar si el ambiente ha sido vulnerado por la explotación de esta vulnerabilidad.
  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
  • Auditar herramientas de acceso remoto (NIST CSF, 2024).
  • Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad (NIST CSF, 2024).
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactorial.

Referencias

  • Constantin, L. (2026, marzo 31). 5-month-old F5 BIG-IP DoS bug becomes critical RCE exploited in the wild. CSO Online. Recuperado el 31 de marzo de 2026, en: https://www.csoonline.com/article/4152658/5-month-old-f5-big-ip-dos-bug-becomes-critical-rce-exploited-in-the-wild.html
  • Divya. (2026, marzo 30). CISA Warns of Actively Exploited F5 BIG-IP Vulnerability in Ongoing Attacks. GBHackers. Recuperado el 31 de marzo de 2026, en: https://gbhackers.com/cisa-warns-of-actively-exploited-f5-big-ip-vulnerability/

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 1 día 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más