Vulnerabilidad F5 BIG-IP: ¡266.000 dispositivos en riesgo en todo el mundo! 2.500 en Italia

Redazione RHC : 20 octubre 2025 14:44

La Agencia de Seguridad Cibernética y de Infraestructura (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) están emitiendo este Aviso Conjunto de Ciberseguridad (CSA) en respuesta a la explotación activa de CVE-2022-1388 .

Esta vulnerabilidad, revelada recientemente en ciertas versiones de F5 Networks, Inc. (F5) BIG-IP, permite a un atacante no autenticado obtener el control de los sistemas afectados a través del puerto de administración o direcciones IP personales. F5 publicó un parche para CVE-2022-1388 el 4 de mayo de 2022, y desde entonces se han publicado pruebas de concepto (POC) que permiten a atacantes menos sofisticados explotar la vulnerabilidad.

Debido a la explotación previa de vulnerabilidades de F5 BIG-IP , CISA y MS-ISAC creen que los dispositivos F5 BIG-IP sin parchear son un objetivo atractivo; las organizaciones que no han aplicado el parche son vulnerables a ataques que toman el control de sus sistemas.

El organismo de control de internet Shadowserver monitoriza actualmente 266.978 direcciones IP con firma BIG-IP F5, de las cuales aproximadamente 2.500 se encuentran en Italia. Además de los sistemas estadounidenses, hay aproximadamente 100.000 dispositivos en Europa y Asia. En concreto, en los Países Bajos, 3.800 sistemas están expuestos.

Estas cifras ilustran la magnitud del incidente de seguridad de F5, que se dio a conocer a principios de esta semana. La empresa de seguridad informó que hackers estatales tuvieron acceso a su entorno de desarrollo de productos BIG-IP durante meses. Los productos BIG-IP de F5 están presentes en todas las redes corporativas, proporcionando equilibrio de carga, cortafuegos y control de acceso para aplicaciones críticas. El hecho de que cientos de miles de estos sistemas sean ahora visibles públicamente los convierte en objetivos atractivos para los ciberdelincuentes.

Detalles técnicos

CVE-2022-1388 es una vulnerabilidad crítica de omisión de autenticación REST de iControl que afecta a las siguientes versiones de F5 BIG-IP:[ 1 ]

• Versiones 16.1.x anteriores a 16.1.2.2
• Versiones 15.1.x anteriores a 15.1.5.1
• Versiones 14.1.x anteriores a 14.1.4.6
• Versiones 13.1.x anteriores a 13.1.5
• Todas las versiones 12.1.x y 11.6.x

Un agente no autenticado con acceso de red al sistema BIG-IP a través del puerto de administración o direcciones IP personales podría explotar la vulnerabilidad para ejecutar comandos arbitrarios del sistema, crear o eliminar archivos, o deshabilitar servicios. F5 publicó un parche para CVE-2022-1388 para todas las versiones afectadas, excepto las 12.1.x y 11.6.x, el 4 de mayo de 2022 (las versiones 12.1.x y 11.6.x están al final de su ciclo de vida [EOL] y F5 ha declarado que no publicará parches).[ 2 ]

Se han hecho públicas las pruebas de concepto (POC) para esta vulnerabilidad, y el 11 de mayo de 2022, CISA la añadió a su catálogo de vulnerabilidades explotadas conocidas , basándose en la evidencia de explotación activa. Debido a las POC y a la facilidad de explotación, CISA y MS-ISAC anticipan una explotación generalizada de dispositivos F5 BIG-IP sin parchear en redes gubernamentales y privadas.

Métodos de detección

CISA recomienda que los administradores, especialmente las organizaciones que no hayan aplicado el parche de inmediato:

• Para conocer los indicadores de compromiso, consulte el Aviso de seguridad F5 K23605346.
• Si sospecha que existe algún compromiso, consulte la guía F5 K11438344.
• Distribuya la siguiente firma Snort creada por CISA:

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli