{"id":395,"date":"2026-03-28T08:18:43","date_gmt":"2026-03-28T08:18:43","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/28\/cisa-agrega-cve-2025-53521-a-kev-despues-de-la-explotacion-activa-de-f5-big-ip-apm-cyberdefensa-mx\/"},"modified":"2026-03-28T08:18:43","modified_gmt":"2026-03-28T08:18:43","slug":"cisa-agrega-cve-2025-53521-a-kev-despues-de-la-explotacion-activa-de-f5-big-ip-apm-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/28\/cisa-agrega-cve-2025-53521-a-kev-despues-de-la-explotacion-activa-de-f5-big-ip-apm-cyberdefensa-mx\/","title":{"rendered":"CISA agrega CVE-2025-53521 a KEV despu\u00e9s de la explotaci\u00f3n activa de F5 BIG-IP APM \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el viernes <a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2026\/03\/27\/cisa-adds-one-known-exploited-vulnerability-catalog\" rel=\"noopener\" target=\"_blank\">agregado<\/a> una falla de seguridad cr\u00edtica que afecta al Administrador de pol\u00edticas de acceso (APM) de F5 BIG-IP a sus vulnerabilidades explotadas conocidas (<a href=\"https:\/\/www.cisa.gov\/known-exploited-vulnerabilities-catalog\" rel=\"noopener\" target=\"_blank\">KEV<\/a>) cat\u00e1logo, citando evidencia de explotaci\u00f3n activa.<\/p>\n<p>La vulnerabilidad en cuesti\u00f3n es <strong>CVE-2025-53521<\/strong> (Puntuaci\u00f3n CVSS v4: 9,3), lo que podr\u00eda permitir a un actor de amenazas lograr la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n<p>\u00abCuando se configura una pol\u00edtica de acceso BIG-IP APM en un servidor virtual, el tr\u00e1fico malicioso espec\u00edfico puede conducir a la ejecuci\u00f3n remota de c\u00f3digo (RCE)\u00bb, seg\u00fan una descripci\u00f3n de la falla en CVE.org.<\/p>\n<p>Si bien la deficiencia fue inicialmente categorizada y remediada como una vulnerabilidad de denegaci\u00f3n de servicio (DoS) con una puntuaci\u00f3n CVSS v4 de 8,7, F5 dijo que ha sido reclasificada como un caso de RCE a la luz de \u00abnueva informaci\u00f3n obtenida en marzo de 2026\u00bb.<\/p>\n<p>La empresa desde entonces <a href=\"https:\/\/my.f5.com\/manage\/s\/article\/K000156741\" rel=\"noopener\" target=\"_blank\">actualizado<\/a> su aviso para confirmar que la vulnerabilidad \u00abha sido explotada en las versiones vulnerables de BIG-IP\u00bb. No comparti\u00f3 ning\u00fan detalle adicional sobre qui\u00e9n puede estar detr\u00e1s de la actividad de explotaci\u00f3n.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/not-fast-enough-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhlXM830ruQd2xT6M7JNeNRjaFa1onD12WjSCHihTFMTzbyfT9h-irPmXy_h3E1HGSs6sdv7FTmnyNVTM5kmSb7BuUtZe8gKoTQt99P1sSzRcqqXpOJP6eoAOhR3DGb6qHx9kOZ_HBZUMmVnsnd0DM7QfUp81bgzTvvgLww6oqB-EhnDfWXH5pWCYhAsyLs\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Sin embargo, F5 comparti\u00f3 un <a href=\"https:\/\/my.f5.com\/manage\/s\/article\/K000160486\" rel=\"noopener\" target=\"_blank\">n\u00famero de indicadores<\/a> que se puede utilizar para evaluar si el sistema ha sido comprometido \u2013<\/p>\n<ul>\n<li>Indicadores relacionados con archivos \u2013\n<ul>\n<li>Presencia de \/run\/bigtlog.pipe y\/o \/run\/bigstart.ltm.<\/li>\n<li>No coinciden los hashes de archivos en comparaci\u00f3n con versiones buenas conocidas de \/usr\/bin\/umount y\/o \/usr\/sbin\/httpd.<\/li>\n<li>No coinciden los tama\u00f1os de archivos o las marcas de tiempo en comparaci\u00f3n con versiones buenas y conocidas de \/usr\/bin\/umount y\/o \/usr\/sbin\/httpd.<\/li>\n<li>Cada versi\u00f3n y EHF pueden tener diferentes tama\u00f1os de archivo y marcas de tiempo.<\/li>\n<\/ul>\n<\/li>\n<li>Indicadores relacionados con registros \u2013\n<ul>\n<li>Una entrada en \u00ab\/var\/log\/restjavad-audit.<number>.log\u00bb que muestra a un usuario local accediendo a la API REST de iControl desde localhost.<\/number><\/li>\n<li>Una entrada en \u00ab\/var\/log\/auditd\/audit.log.<number>\u00abque muestra a un usuario local accediendo a la API REST de iControl desde localhost para desactivar SELinux.<\/number><\/li>\n<li>Los mensajes de registro en \u00ab\/var\/log\/audit\u00bb muestran los resultados de un comando que se ejecuta en el registro de auditor\u00eda.<\/li>\n<\/ul>\n<\/li>\n<li>Otros TTP observados incluyen:\n<ul>\n<li>Modificaciones a los componentes subyacentes que el verificador de integridad del sistema, <a href=\"https:\/\/my.f5.com\/manage\/s\/article\/K00029945\" rel=\"noopener\" target=\"_blank\">sys-eicheck<\/a>se basa, lo que resulta en una falla de la herramienta, espec\u00edficamente \/usr\/bin\/umount y\/o \/usr\/sbin\/httpd, lo que indica cambios inesperados en el software del sistema como se mencion\u00f3 anteriormente.<\/li>\n<li>Tr\u00e1fico HTTP\/S del sistema BIG-IP que contiene c\u00f3digos de respuesta HTTP 201 y tipo de contenido CSS para disfrazar las actividades del atacante.<\/li>\n<li>Cambios en los siguientes tres archivos, aunque su presencia por s\u00ed sola no indica un problema de seguridad:\n<ul>\n<li>\/var\/sam\/www\/webtop\/renderer\/apm_css.php3<\/li>\n<li>\/var\/sam\/www\/webtop\/renderer\/full_wt.php3<\/li>\n<li>\/var\/sam\/www\/webtop\/renderer\/webtop_popup_css.php3<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>\u00abHemos observado casos en los que webshell se escribe en el disco; sin embargo, se ha observado que los webshells funcionan s\u00f3lo en la memoria, lo que significa que los archivos enumerados anteriormente podr\u00edan no modificarse\u00bb, advirti\u00f3 F5.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ciso-risk-comm-cert-dr-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgqhIRUj1YTC94RNdUGjmL9vDt5o56pkuKHyTGP8DvhM0bsTe7VSW-pHKY9HaAKsXk4J3x3gREcX_ZtLx04zPaI1UqHjcBD9QquXjOczTKwcJeGnTUqH73_QRG4d0Ki0KBKChGP48m-7VzU7UTgCWdz7hBtd51XbCyMUXu9PBBQt1sbO1V4WLWu4QrEBTZA\/s728-e100\/ciso-dark-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>El problema afecta a las siguientes versiones:<\/p>\n<ul>\n<li>17.5.0 \u2013 17.5.1 (Corregido en la versi\u00f3n 17.5.1.3)<\/li>\n<li>17.1.0 \u2013 17.1.2 (Corregido en la versi\u00f3n 17.1.3)<\/li>\n<li>16.1.0 \u2013 16.1.6 (Corregido en la versi\u00f3n 16.1.6.1)<\/li>\n<li>15.1.0 \u2013 15.1.10 (Corregido en la versi\u00f3n 15.1.10.8)<\/li>\n<\/ul>\n<p>A la luz de la explotaci\u00f3n activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen hasta el 30 de marzo de 2026 para aplicar las correcciones para proteger sus redes.<\/p>\n<p>\u00abCuando F5 CVE-2025-53521 surgi\u00f3 por primera vez el a\u00f1o pasado como un problema de denegaci\u00f3n de servicio, no indic\u00f3 inmediatamente urgencia, y muchos administradores de sistemas probablemente le dieron prioridad en consecuencia\u00bb, dijo el CEO y fundador de watchTowr, Benjamin Harris, en un comunicado compartido con The Hacker News.<\/p>\n<p>\u00abAvanzando r\u00e1pidamente hasta el gran momento de hoy: la situaci\u00f3n ha cambiado significativamente. Lo que estamos observando ahora es la ejecuci\u00f3n remota de c\u00f3digo previo a la autenticaci\u00f3n y evidencia de explotaci\u00f3n en estado salvaje, con una lista CISA KEV para respaldarlo. Ese es un perfil de riesgo muy diferente al que se comunic\u00f3 inicialmente\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el viernes agregado una falla de seguridad cr\u00edtica que afecta al Administrador de pol\u00edticas de acceso (APM) de F5 BIG-IP a sus vulnerabilidades explotadas conocidas (KEV) cat\u00e1logo, citando evidencia de explotaci\u00f3n activa. La vulnerabilidad en cuesti\u00f3n es CVE-2025-53521 (Puntuaci\u00f3n CVSS v4: 9,3), lo [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[107,405,1380,1379,100,1378,24,261,106,110],"class_list":["post-395","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-activa","tag-agrega","tag-apm","tag-bigip","tag-cisa","tag-cve202553521","tag-cyberdefensa-mx","tag-despues","tag-explotacion","tag-kev"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/395","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=395"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/395\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=395"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=395"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=395"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}