Vulnerabilidades

Threat Brief: Un Actor de Estado-Nación Roba el Código Fuente y Vulnerabilidades No Divulgadas de F5

Clock Icon 6 lectura mínima
Related Products
CortexCortex XpanseUnit 42 Incident Response iconUnit 42 Incident Response

Resumen Ejecutivo

El 15 de octubre de 2025, F5 —una empresa de tecnología de EE. UU.— reveló que un actor de amenazas de estado-nación llevó a cabo un compromiso significativo y a largo plazo de sus redes corporativas. En este incidente, los atacantes robaron el código fuente de su suite de productos BIG-IP e información sobre vulnerabilidades no divulgadas. La suite BIG-IP de F5 es comúnmente utilizada por grandes organizaciones, principalmente en los EE. UU. pero también a nivel mundial, para disponibilidad, control de acceso y seguridad. Organizaciones que incluyen agencias gubernamentales y empresas Fortune 500 confían en BIG-IP.

Cortex Xpanse actualmente identifica más de 600,000 instancias de F5 BIG-IP expuestas a Internet.

La investigación de F5 reveló que los atacantes mantuvieron el acceso a largo plazo al entorno de desarrollo de productos y a la plataforma de gestión de conocimiento de ingeniería de la empresa. Esto permitió a los atacantes acceder a datos altamente sensibles.

F5 también publicó detalles de varias vulnerabilidades de diversa gravedad. Algunas de las vulnerabilidades clave son:

  • CVE-2025-53868: Una vulnerabilidad de BIG-IP SCP y SFTP con una puntuación CVSS de 8.7. Esto podría permitir un impacto significativo en los sistemas afectados.
  • CVE-2025-61955: Una vulnerabilidad de F5OS con una puntuación CVSS de hasta 8.8 en modo de dispositivo. Esto podría llevar a compromisos importantes de los sistemas F5OS-A y F5OS-C.
  • CVE-2025-57780: Una vulnerabilidad de F5OS con una puntuación CVSS de hasta 8.8 en modo de dispositivo, lo que representa otra amenaza crítica para los sistemas F5OS.

Puntos Clave

  • Qué se exfiltró: El actor de amenazas exfiltró archivos del entorno de desarrollo de productos BIG-IP y de las plataformas de gestión de conocimiento de ingeniería. Estos archivos contenían parte del código fuente de BIG-IP e información sobre vulnerabilidades no divulgadas. F5 declaró que actualmente no tiene conocimiento de vulnerabilidades críticas o de código remoto no divulgadas, y no ha observado la explotación activa de ninguna vulnerabilidad no divulgada de F5.
  • Impacto en el cliente: No hay evidencia de acceso o exfiltración de datos de los sistemas de CRM, financieros, de gestión de casos de soporte o iHealth de F5. Sin embargo, algunos de los archivos exfiltrados de la plataforma de gestión del conocimiento contenían información de configuración o implementación para un pequeño porcentaje de clientes.
  • Integridad de la cadena de suministro: No hay evidencia de modificación en la cadena de suministro de software de F5, incluido el código fuente y los procesos de compilación y lanzamiento.
  • No afectado: No hay evidencia de que el actor de amenazas haya accedido o modificado el código fuente de NGINX o el entorno de desarrollo de productos. Tampoco hubo evidencia de que el actor de amenazas haya accedido o modificado los F5 Distributed Cloud Services o los sistemas Silverline.

Si bien los detalles de lo que se exfiltró exactamente no están disponibles públicamente, el robo del código fuente y de vulnerabilidades no reveladas previamente es significativo y podría facilitar la explotación rápida de las vulnerabilidades.

Guía

Unit 42 recomienda encarecidamente seguir la guía pública de F5 en su Notificación de Seguridad pública y en la Notificación de Seguridad Trimestral.

El equipo de Respuesta a Incidentes de Unit 42 puede ser contratado para ayudar con un compromiso o para proporcionar una evaluación proactiva para reducir su riesgo.

Cortex Xpanse tiene reglas de superficie de ataque existentes que se pueden utilizar para ayudar a los clientes a identificar dispositivos F5 de acceso público.

Detalles del Ataque

Según F5, el compromiso de sus redes corporativas fue realizado por un actor de estado-nación sofisticado no especificado. Los ataques en los últimos años han ilustrado el atractivo de las empresas de tecnología no solo como un objetivo viable, sino como un multiplicador de fuerza para aumentar la eficiencia y el cronograma de la actividad de espionaje.

F5 también publicó detalles de varias vulnerabilidades de diversa gravedad. Algunas de las vulnerabilidades clave son:

  • CVE-2025-53868: Una vulnerabilidad de BIG-IP SCP y SFTP con una puntuación CVSS de 8.7. Esto podría permitir un impacto significativo en los sistemas afectados.
  • CVE-2025-61955: Una vulnerabilidad de F5OS con una puntuación CVSS de hasta 8.8 en modo de dispositivo. Esto podría llevar a compromisos importantes de los sistemas F5OS-A y F5OS-C.
  • CVE-2025-57780: Una vulnerabilidad de F5OS con una puntuación CVSS de hasta 8.8 en modo de dispositivo, lo que representa otra amenaza crítica para los sistemas F5OS.

Historia de Ataques Dirigidos

Existe un historial de actores de estado-nación que persiguen objetivos de alto valor en la industria tecnológica. Dado el alcance de la suite BIG-IP de F5, actores sofisticados y con buenos recursos se han centrado en ella en el pasado.

A finales de 2023, surgió una vulnerabilidad crítica (CVE-2023-46747) dentro de la Interfaz de Usuario de Gestión de Tráfico (TMUI) de BIG-IP, que permitía una omisión de autenticación. UNC5174, un actor de amenazas con nexos en China, explotó activamente esta falla. La investigación de Mandiant reveló que el grupo aprovechó esta vulnerabilidad para crear cuentas de administrador de puerta trasera, obteniendo finalmente la ejecución de comandos en los dispositivos comprometidos.

Durante tres años, un grupo patrocinado por el estado chino conocido como Velvet Ant utilizó software malicioso para explotar equipos F5 BIG-IP obsoletos. Esto permitió el acceso persistente y la exfiltración de datos de la red de una organización objetivo.

En julio de 2025, una vulnerabilidad crítica (CVE-2022-1388) se convirtió en el vector de acceso para otro ataque sofisticado. El grupo con nexos en China conocido como Fire Ant —que se superpone con UNC3886— explotó una falla de omisión de autenticación REST de iControl en dispositivos F5 BIG-IP. Esto les permitió implementar shells web, tunelizar el tráfico entre segmentos de red y ejecutar comandos arbitrarios del sistema.

Alcance Actual del Ataque Contra F5

El actor de amenazas exfiltró archivos del entorno de desarrollo de productos BIG-IP y de las plataformas de gestión de conocimiento de ingeniería. La publicación de F5 del 16 de octubre indicó que la empresa no ha encontrado evidencia de acceso o exfiltración de datos de sus sistemas de CRM, financieros, de gestión de casos de soporte o iHealth. Sin embargo, algunos de los archivos exfiltrados de la plataforma de gestión del conocimiento contenían información de configuración o implementación para un pequeño porcentaje de clientes.

F5 declaró que los archivos robados contenían parte del código fuente de BIG-IP e información sobre vulnerabilidades no divulgadas. F5 declaró que actualmente no tiene conocimiento de vulnerabilidades críticas o de código remoto no divulgadas. Tampoco ha observado la explotación activa de ninguna vulnerabilidad no divulgada de F5.

No ha habido evidencia de modificación en la cadena de suministro de software de F5, incluido el código fuente y los procesos de compilación y lanzamiento. Tampoco hay evidencia de que el actor de amenazas haya accedido o modificado el código fuente de NGINX o el entorno de desarrollo de productos. Finalmente, no hubo evidencia de que el actor de amenazas haya accedido o modificado los F5 Distributed Cloud Services o los sistemas Silverline.

Generalmente, si un atacante roba el código fuente, lleva tiempo encontrar problemas explotables. En este caso, el actor de amenazas también robó información sobre vulnerabilidades no reveladas previamente en las que F5 estaba trabajando activamente para aplicar parches. Esto podría proporcionar a los actores de amenazas la capacidad de explotar vulnerabilidades que no tienen un parche público, lo que podría aumentar la velocidad de creación de exploits.

La divulgación de 45 vulnerabilidades en este trimestre, frente a solo seis en el trimestre anterior sugiere que F5 se está moviendo lo más rápido posible para parchear activamente la mayor cantidad de fallas posible antes de que los actores de amenazas puedan explotarlas.

Guía Provisional

Unit 42 recomienda encarecidamente seguir la guía pública de F5 en su Notificación de Seguridad pública y en la Notificación de Seguridad Trimestral. Esta guía incluye:

  • Actualización del software BIG-IP
  • Una guía de búsqueda de amenazas
  • Guía de fortalecimiento (hardening)
  • Recomendaciones de integración de gestión de eventos e información de seguridad (SIEM)

F5 recomienda encarecidamente actualizar el software BIG-IP lo antes posible. El soporte de F5 proporciona una guía de búsqueda de amenazas para fortalecer la detección y el monitoreo. También publicó las mejores prácticas para fortalecer los sistemas F5, agregando verificaciones de fortalecimiento automatizadas a la Herramienta de Diagnóstico F5 iHealth. Esta herramienta puede ayudar a detectar brechas, priorizar acciones y proporcionar enlaces a la guía de remediación.

Por último, F5 recomienda lo siguiente:

  • Habilitar el transmisión de eventos de BIG-IP a SIEM
  • Seguir las instrucciones paso a paso para la configuración de syslog (KB13080)
  • Monitorear los intentos de inicio de sesión (KB13426) para mejorar la visibilidad y las alertas de:
    • Inicios de sesión de administrador
    • Autenticaciones fallidas
    • Cambios de privilegios y configuración

Conclusión

El impacto potencial de este compromiso es único debido al robo de información confidencial sobre vulnerabilidades no reveladas previamente que F5 estaba en proceso de parchear activamente. Estos datos otorgan potencialmente a los actores de amenazas la capacidad de explotar vulnerabilidades para las que actualmente no existe un parche público, lo que podría acelerar la creación de exploits.

Según la información pública, el compromiso se identificó a principios de agosto de 2025. Si bien F5 declaró que aún no habían visto evidencia de explotación en el mundo real, el momento sugiere que estas vulnerabilidades podrían haber sido explotadas durante más de dos meses. Esto resalta la necesidad de abordar de inmediato la guía de mitigación.

La pronta divulgación y la guía de mitigación de F5 son primeros pasos cruciales. La principal prioridad para cualquier organización que utilice F5 BIG-IP es implementar la guía de mitigación y fortalecimiento sin demora y comenzar las actividades de búsqueda de amenazas de inmediato.

Esto subraya la necesidad de una estrategia de defensa en profundidad frente a vulnerabilidades desconocidas, emergentes e identificadas previamente.

Los clientes de Palo Alto Networks están mejor protegidos por nuestros productos, como se detalla a continuación. Actualizaremos este informe de amenazas a medida que haya más información relevante disponible.

Protecciones de Productos de Palo Alto Networks

Los clientes de Palo Alto Networks pueden aprovechar una variedad de protecciones y actualizaciones de productos para identificar y defenderse de esta amenaza.

Si cree que podría haber sido comprometido o tiene un asunto urgente, póngase en contacto con el equipo de Respuesta a Incidentes de Unit 42 o llame a:

  • América del Norte: Número gratuito: +1 (866) 486-4842 (866.4.UNIT42)
  • Reino Unido: +44.20.3743.3660
  • Europa y Medio Oriente: +31.20.299.3130
  • Asia: +65.6983.8730
  • Japón: +81.50.1790.0200
  • Australia: +61.2.4062.7950
  • India: 000 800 050 45107

Cortex Xpanse

Cortex Xpanse tiene reglas de superficie de ataque existentes que pueden utilizarse para ayudar a los clientes a identificar dispositivos F5 de acceso público.

Etiquetas

ÍNDICE

Artículos relacionados

Relacionados Vulnerabilidades Recursos

Enlarged Image

Obtenga las últimas noticias, invitaciones a eventos y alertas de amenazas

Default Heading

Read the article Right Arrow