Los clientes de **F5** se enfrentan a una situación crítica debido a una vulnerabilidad de ejecución remota de código (RCE) en **BIG-IP APM** que está siendo explotada activamente. La organización sin fines de lucro de monitoreo de amenazas en Internet **Shadowserver** ha identificado más de 14.000 instancias de **BIG-IP APM** expuestas en línea en medio de ataques continuos dirigidos a **CVE-2025-53521**. ### ¿Qué es BIG-IP APM? **BIG-IP APM** (Access Policy Manager) es la solución de proxy de gestión de acceso centralizada de **F5**. Está diseñado para ayudar a los administradores a asegurar el acceso a las redes, entornos en la nube, aplicaciones y APIs de su organización. ### CVE-2025-53521: De DoS a RCE La falla de cinco meses de antigüedad, rastreada como **CVE-2025-53521**, se divulgó inicialmente en octubre como una vulnerabilidad de denegación de servicio (DoS). Sin embargo, fue reclasificada como un error de RCE tras nueva información obtenida en marzo de 2026. "Debido a nueva información obtenida en marzo de 2026, la vulnerabilidad original se está reclasificando como RCE. La corrección original de **CVE** ha sido validada para abordar la RCE en las versiones corregidas. Hemos sabido que esta vulnerabilidad ha sido explotada en las versiones vulnerables de **BIG-IP**", advirtió **F5** en una reciente actualización de su aviso. Los atacantes pueden aprovechar esta vulnerabilidad para obtener ejecución remota de código en sistemas **BIG-IP APM** sin parches con políticas de acceso configuradas en un servidor virtual, sin requerir ningún privilegio. ### Escala de Exposición Aunque el número exacto de instancias de **BIG-IP APM** vulnerables expuestas en línea sigue siendo desconocido, **Shadowserver** informa que rastrea más de 17.100 IPs con huellas de **BIG-IP APM**.  Según los datos de **Shadowserver**, más de 14.000 sistemas **BIG-IP APM** todavía están expuestos a ataques de **CVE-2025-53521**. Esto es a pesar de que la **Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA)** ordenó a las agencias federales asegurar sus sistemas **BIG-IP APM** antes del lunes por la noche, tras la adición de la vulnerabilidad a su lista de fallas explotadas activamente. ### Recomendaciones de F5 e Indicadores de Compromiso **F5** ha publicado indicadores de compromiso (IOCs) y aconseja a los defensores que revisen exhaustivamente los discos, registros e historial de terminales de los dispositivos **BIG-IP** en busca de signos de actividad maliciosa. También proporcionan orientación sobre medidas posteriores al compromiso, incluida la reconstrucción de los sistemas afectados desde cero. "Si los clientes no saben exactamente cuándo se comprometió el sistema, es posible que se hayan creado copias de seguridad del conjunto de configuración del usuario (UCS) después de que ocurriera el compromiso", declaró la compañía. "**F5** recomienda encarecidamente a los clientes que reconstruyan la configuración a partir de una fuente conocida y confiable, ya que los archivos UCS de sistemas comprometidos pueden contener malware persistente." ### Un Objetivo Recurrente **F5**, una empresa tecnológica Fortune 500, proporciona ciberseguridad, redes de entrega de aplicaciones (ADN) y otros servicios a más de 23.000 clientes, incluidas 48 empresas Fortune 50. En los últimos años, las vulnerabilidades de **BIG-IP** han sido consistentemente blanco de actores patrocinados por estados y grupos de cibercrimen para diversos fines maliciosos, entre ellos: * Brecha de redes corporativas * Secuestro de dispositivos * Despliegue de malware que borra datos * Mapeo de servidores internos * Robo de datos sensibles