Vulnerabilidad crítica en F5 BIG-IP APM

Comparativa de herramientas LLM locales

CVE-2025-53521 es una vulnerabilidad crítica en F5 BIG-IP APM que inicialmente se publicó como DoS, pero más tarde F5 la reclasificó como RCE no autenticada tras observar explotación real.

Qué es

Afecta a F5 BIG-IP Access Policy Manager (APM) cuando hay una access policy configurada en un virtual server.
El resultado es Remote Code Execution a través de tráfico malicioso específico, sin necesidad de autenticación previa.
También se indica que el sistema en Appliance mode es vulnerable.

Severidad y estado

La vulnerabilidad fue reclasificada en marzo de 2026: de DoS a RCE, con puntuaciones publicadas de CVSS 9.8 (v3.1) y 9.3 (v4.0).
CISA la añadió al catálogo KEV el 27 de marzo de 2026, confirmando explotación activa en la naturaleza.
NCSC de Reino Unido y Nueva Zelanda también emitieron avisos específicos indicando explotación activa y recomendando investigación forense incluso si el sistema ya fue parcheado.

Método de explotación

El atacante envía tráfico malicioso cuidadosamente formado al plano de acceso de BIG-IP APM, aprovechando el componente apmd que procesa tráfico en tiempo real.
El objetivo es obtener ejecución de código en el sistema BIG-IP, lo que permite controlar el dispositivo de perímetro y su política de acceso.
Informes de respuesta a incidentes señalan incluso webshells en memoria y modificaciones de componentes de integridad del sistema.

Impacto operativo

BIG-IP APM suele actuar como punto de SSO, MFA, acceso remoto y publicación de aplicaciones, así que un compromiso puede afectar a muchos usuarios y servicios de golpe.
Si el atacante obtiene control del appliance, puede manipular políticas de acceso, interceptar sesiones o alterar el acceso a aplicaciones críticas.

Versiones afectadas

Se citan como afectadas ramas de 17.x, 16.x y 15.x, con rangos concretos en los avisos de F5 y organismos nacionales.
F5 publicó fixes en octubre de 2025, y las versiones corregidas siguen siendo válidas para cerrar la RCE.

Mitigación

Parchar a una versión corregida de F5 lo antes posible.
Revisar exposición de los virtual servers con APM y restringir el acceso administrativo a redes de gestión o VPN.
Buscar IoCs y realizar investigación forense aunque el parche ya esté aplicado, porque NCSC y F5 advierten que puede haber compromiso previo.
Rotar credenciales/tokens si el appliance gestionaba acceso remoto o SSO y estuvo expuesto.

Prioridad práctica

Si usas F5 BIG-IP APM en acceso remoto, SSO o publicación de apps, yo lo trataría como prioridad crítica inmediata.

Qué es

Afecta a F5 BIG-IP Access Policy Manager (APM) cuando hay una access policy configurada en un virtual server.

El resultado es Remote Code Execution a través de tráfico malicioso específico, sin necesidad de autenticación previa.

También se indica que el sistema en Appliance mode es vulnerable.

Severidad y estado

La vulnerabilidad fue reclasificada en marzo de 2026: de DoS a RCE, con puntuaciones publicadas de CVSS 9.8 (v3.1) y 9.3 (v4.0).

CISA la añadió al catálogo KEV el 27 de marzo de 2026, confirmando explotación activa en la naturaleza.

NCSC de Reino Unido y Nueva Zelanda también emitieron avisos específicos indicando explotación activa y recomendando investigación forense incluso si el sistema ya fue parcheado.

Método de explotación

El atacante envía tráfico malicioso cuidadosamente formado al plano de acceso de BIG-IP APM, aprovechando el componente apmd que procesa tráfico en tiempo real.

El objetivo es obtener ejecución de código en el sistema BIG-IP, lo que permite controlar el dispositivo de perímetro y su política de acceso.

Informes de respuesta a incidentes señalan incluso webshells en memoria y modificaciones de componentes de integridad del sistema.

Impacto operativo

BIG-IP APM suele actuar como punto de SSO, MFA, acceso remoto y publicación de aplicaciones, así que un compromiso puede afectar a muchos usuarios y servicios de golpe.

Si el atacante obtiene control del appliance, puede manipular políticas de acceso, interceptar sesiones o alterar el acceso a aplicaciones críticas.

Mitigación

Parchar a una versión corregida de F5 lo antes posible.

Revisar exposición de los virtual servers con APM y restringir el acceso administrativo a redes de gestión o VPN.

Buscar IoCs y realizar investigación forense aunque el parche ya esté aplicado, porque NCSC y F5 advierten que puede haber compromiso previo.

Rotar credenciales/tokens si el appliance gestionaba acceso remoto o SSO y estuvo expuesto.