El CCN-CERT (Centro Criptológico Nacional) ha emitido la alerta AL-09/25, de nivel crítico, tras confirmarse un incidente de seguridad en la empresa F5 que ha derivado en el robo de información sensible, incluyendo código fuente de productos BIG-IP y detalles de vulnerabilidades aún no corregidas.
El ataque, atribuido a un actor patrocinado por un Estado, podría facilitar la creación de exploits dirigidos contra organizaciones que utilicen las soluciones de F5 en sus infraestructuras.
Compromiso confirmado por F5
Según el comunicado oficial de la compañía, sus sistemas internos fueron comprometidos, permitiendo al atacante acceder a información técnica interna de alto valor. Entre los datos sustraídos se encontrarían fragmentos de código fuente, documentación interna y detalles sobre vulnerabilidades en desarrollo o pendientes de parche.
El incidente estaría vinculado a la amenaza BRICKSTORM, un grupo especializado en el compromiso de entornos difíciles de monitorizar, como servidores VMware ESX, y que se caracteriza por mantener accesos persistentes sin ser detectado durante largos periodos de tiempo.
Esta filtración representa un riesgo severo para la cadena de suministro, ya que podría permitir a atacantes explotar dispositivos y software de F5, desplegar malware adaptado a entornos específicos o comprometer redes de terceros que integren estas soluciones.
Actualizaciones de seguridad y vulnerabilidades publicadas
En paralelo al incidente, F5 ha publicado 43 vulnerabilidades en sus productos:
- 27 de severidad alta
- 15 de severidad media
- 1 de severidad baja
Aunque la empresa afirma que ninguna de ellas permite la ejecución remota de código, la naturaleza del ataque y la exposición de información interna incrementan el nivel de riesgo. Los parches correspondientes fueron incluidos en la notificación trimestral de seguridad de octubre de 2025.
Los productos potencialmente afectados incluyen la mayoría de las líneas activas de F5:
- BIG-IP (todos los módulos)
- F5OS-A y F5OS-C
- BIG-IP Next SPK / CNF / for Kubernetes
- BIG-IP SSL Orchestrator, PEM, AFM, Advanced WAF/ASM, APM
- F5 Silverline (todos los servicios)
- NGINX App Protect WAF
Recomendaciones del CCN-CERT
Ante la gravedad del incidente, el CCN-CERT recomienda a todas las organizaciones que utilicen productos de F5 seguir de inmediato las siguientes acciones:
- Aplicar sin demora las versiones corregidas incluidas en el boletín de octubre de 2025.
- Realizar un inventario completo de todos los dispositivos y sistemas F5, incluyendo hardware, software y entornos virtuales.
- Revisar los registros de acceso, cambios de configuración y actividad de APIs, prestando atención a comportamientos anómalos.
- En caso de detectar indicios de compromiso, contactar de inmediato con el CCN-CERT para recibir asistencia y coordinar la respuesta al incidente.
Fuente: https://www.ccn-cert.cni.es
