La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el viernes agregado una falla de seguridad crítica que afecta al Administrador de políticas de acceso (APM) de F5 BIG-IP a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

La vulnerabilidad en cuestión es CVE-2025-53521 (Puntuación CVSS v4: 9,3), lo que podría permitir a un actor de amenazas lograr la ejecución remota de código.

«Cuando se configura una política de acceso BIG-IP APM en un servidor virtual, el tráfico malicioso específico puede conducir a la ejecución remota de código (RCE)», según una descripción de la falla en CVE.org.

Si bien la deficiencia fue inicialmente categorizada y remediada como una vulnerabilidad de denegación de servicio (DoS) con una puntuación CVSS v4 de 8,7, F5 dijo que ha sido reclasificada como un caso de RCE a la luz de «nueva información obtenida en marzo de 2026».

La empresa desde entonces actualizado su aviso para confirmar que la vulnerabilidad «ha sido explotada en las versiones vulnerables de BIG-IP». No compartió ningún detalle adicional sobre quién puede estar detrás de la actividad de explotación.

Sin embargo, F5 compartió un número de indicadores que se puede utilizar para evaluar si el sistema ha sido comprometido –

• Indicadores relacionados con archivos –
  • Presencia de /run/bigtlog.pipe y/o /run/bigstart.ltm.
  • No coinciden los hashes de archivos en comparación con versiones buenas conocidas de /usr/bin/umount y/o /usr/sbin/httpd.
  • No coinciden los tamaños de archivos o las marcas de tiempo en comparación con versiones buenas y conocidas de /usr/bin/umount y/o /usr/sbin/httpd.
  • Cada versión y EHF pueden tener diferentes tamaños de archivo y marcas de tiempo.
• Indicadores relacionados con registros –
  • Una entrada en «/var/log/restjavad-audit..log» que muestra a un usuario local accediendo a la API REST de iControl desde localhost.
  • Una entrada en «/var/log/auditd/audit.log.«que muestra a un usuario local accediendo a la API REST de iControl desde localhost para desactivar SELinux.
  • Los mensajes de registro en «/var/log/audit» muestran los resultados de un comando que se ejecuta en el registro de auditoría.
• Otros TTP observados incluyen:
  • Modificaciones a los componentes subyacentes que el verificador de integridad del sistema, sys-eicheckse basa, lo que resulta en una falla de la herramienta, específicamente /usr/bin/umount y/o /usr/sbin/httpd, lo que indica cambios inesperados en el software del sistema como se mencionó anteriormente.
  • Tráfico HTTP/S del sistema BIG-IP que contiene códigos de respuesta HTTP 201 y tipo de contenido CSS para disfrazar las actividades del atacante.
  • Cambios en los siguientes tres archivos, aunque su presencia por sí sola no indica un problema de seguridad:
    • /var/sam/www/webtop/renderer/apm_css.php3
    • /var/sam/www/webtop/renderer/full_wt.php3
    • /var/sam/www/webtop/renderer/webtop_popup_css.php3

«Hemos observado casos en los que webshell se escribe en el disco; sin embargo, se ha observado que los webshells funcionan sólo en la memoria, lo que significa que los archivos enumerados anteriormente podrían no modificarse», advirtió F5.

El problema afecta a las siguientes versiones:

• 17.5.0 – 17.5.1 (Corregido en la versión 17.5.1.3)
• 17.1.0 – 17.1.2 (Corregido en la versión 17.1.3)
• 16.1.0 – 16.1.6 (Corregido en la versión 16.1.6.1)
• 15.1.0 – 15.1.10 (Corregido en la versión 15.1.10.8)

A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen hasta el 30 de marzo de 2026 para aplicar las correcciones para proteger sus redes.

«Cuando F5 CVE-2025-53521 surgió por primera vez el año pasado como un problema de denegación de servicio, no indicó inmediatamente urgencia, y muchos administradores de sistemas probablemente le dieron prioridad en consecuencia», dijo el CEO y fundador de watchTowr, Benjamin Harris, en un comunicado compartido con The Hacker News.

«Avanzando rápidamente hasta el gran momento de hoy: la situación ha cambiado significativamente. Lo que estamos observando ahora es la ejecución remota de código previo a la autenticación y evidencia de explotación en estado salvaje, con una lista CISA KEV para respaldarlo. Ese es un perfil de riesgo muy diferente al que se comunicó inicialmente».

Google el jueves anunciado un nuevo «flujo avanzado» para la descarga de Android que requiere un período de espera obligatorio de 24 horas para instalar aplicaciones de desarrolladores no verificados en un intento de equilibrar la apertura con la seguridad.

Los nuevos cambios se producen en el contexto de un mandato de verificación de desarrolladores que el gigante tecnológico anunció el año pasado que requiere que todas las aplicaciones de Android estén registradas por desarrolladores verificados para instalarse en dispositivos Android certificados. La medida, añadió, se hizo para detectar a los malos actores más rápidamente y evitar que distribuyan malware.

Esto también incluye escenarios potenciales en los que los ciberdelincuentes engañan a los usuarios desprevenidos que descargan dichas aplicaciones para que les otorguen privilegios elevados que permitan desactivar Play Protect, la función antimalware integrada en todos los dispositivos Android certificados por Google.

Sin embargo, el requisitos de registro obligatorios ha sido recibió críticas de más de 50 desarrolladores de aplicaciones y mercados, incluidos F-Droid, Brave, The Electronic Frontier Foundation, Proton, The Tor Project, Vivaldi, quienes dicen que corren el riesgo de crear fricciones y barreras de entrada, y plantean preocupaciones sobre privacidad y vigilancia en ausencia de claridad sobre qué información personal deben proporcionar los desarrolladores, cómo se almacenarán, protegerán y utilizarán estos datos, y si podrían estar sujetos a solicitudes gubernamentales o procesos legales.

Como una forma de sofocar algunos de estos problemas espinosos, Google ha enfatizado que el flujo avanzado recientemente desarrollado permite a los usuarios avanzados mantener la capacidad de descargar aplicaciones de desarrolladores no verificados con un proceso único que requiere que sigan los pasos a continuación:

• Habilite el modo desarrollador en la configuración del sistema.
• Confirme que están dando este paso por su propia voluntad y que no están siendo entrenados.
• Reinicie el teléfono y vuelva a autenticarse para evitar que un estafador controle las acciones que está realizando un usuario.
• Espere un período de 24 horas y confirme que realmente están realizando este cambio con autenticación biométrica o PIN del dispositivo.
• Instale aplicaciones de desarrolladores no verificados una vez que los usuarios comprendan los riesgos, ya sea de forma indefinida o por un período de siete días.

«En ese período de 24 horas, creemos que a los atacantes les resulta mucho más difícil persistir en su ataque», dijo el presidente del ecosistema Android, Sameer Samat. citado diciendo a Ars Técnica. «En ese tiempo, probablemente puedas descubrir que tu ser querido no está realmente encarcelado o que tu cuenta bancaria no está realmente bajo ataque».

Google también dijo que planea ofrecer «cuentas de distribución limitada» gratuitas que permitan a los desarrolladores aficionados y estudiantes compartir aplicaciones con hasta 20 dispositivos sin tener que «proporcionar una identificación emitida por el gobierno o pagar una tarifa de registro».

Vale la pena señalar que el proceso antes mencionado no se aplica a las instalaciones a través de Android Debug Bridge (ADB). Las cuentas de distribución limitadas para estudiantes y aficionados, así como el flujo avanzado para usuarios, estarán disponibles en agosto de 2026, antes de que los nuevos requisitos de verificación de desarrolladores entren en vigor el mes siguiente.

«Sabemos que un enfoque de ‘talla única’ no funciona para nuestro ecosistema diverso», dijo Google. «Queremos asegurarnos de que la verificación de identidad no sea una barrera de entrada, por lo que ofrecemos diferentes caminos para satisfacer sus necesidades específicas».

El desarrollo coincide con la aparición de un nuevo malware para Android llamado Perseus que se dirige activamente a usuarios en Turquía e Italia con el objetivo de realizar apropiación de dispositivos (DTO) y fraude financiero.

Durante los cuatro meses, se han detectado al menos 17 familias de malware para Android. Incluyen FvncBot, SeedSnatcher, ClayRat, Wonderland, Cellik, Frogblight, NexusRoute, ZeroDayRAT, Arsink (y su variante mejorada SURXRAT), deVixor, Phantom, Massiv, PixRevolution, TaxiSpy RAT, BeatBanker, Mirax y Oblivion RAT.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el martes agregado una falla de seguridad recientemente revelada que afecta las operaciones de Broadcom VMware Aria a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando explotación activa en la naturaleza.

La vulnerabilidad de alta gravedad, CVE-2026-22719 (Puntuación CVSS: 8,1), se ha descrito como un caso de inyección de comandos que podría permitir que un atacante no autenticado ejecute comandos arbitrarios.

«Un actor malicioso no autenticado puede aprovechar este problema para ejecutar comandos arbitrarios, lo que puede llevar a la ejecución remota de código en VMware Aria Operations mientras se realiza la migración de productos asistida por soporte», dijo la compañía. dicho en un aviso publicado a finales del mes pasado.

La deficiencia se solucionó, junto con CVE-2026-22720, una vulnerabilidad de secuencias de comandos entre sitios almacenados, y CVE-2026-22721, una vulnerabilidad de escalada de privilegios que podría resultar en acceso administrativo. Afecta a los siguientes productos:

• VMware Cloud Foundation y VMware vSphere Foundation 9.xxx: corregido en 9.0.2.0
• Operaciones de VMware Aria 8.x: corregido en 8.18.6

Los clientes que no puedan aplicar el parche inmediatamente pueden descargar y ejecutar un script de shell («aria-ops-rce-workaround.sh») como raíz de cada nodo del dispositivo virtual de operaciones Aria.

Actualmente no hay detalles sobre cómo se está explotando la vulnerabilidad en la naturaleza, quién está detrás de ella y la escala de dichos esfuerzos.

«Broadcom está al tanto de los informes sobre una posible explotación de CVE-2026-22719 en estado salvaje, pero no podemos confirmar de forma independiente su validez», señaló la compañía en una actualización de su boletín.

A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones antes del 24 de marzo de 2026.