Área clientes

Brecha en F5: Robo de código fuente de BIG-IP por un actor estatal

La empresa de ciberseguridad estadounidense F5 reveló que actores de amenazas no identificados irrumpieron en sus sistemas y robaron archivos que contenían parte del código fuente de BIG-IP e información relacionada con vulnerabilidades no reveladas en el producto. La compañía atribuyó la actividad a un “actor de amenazas altamente sofisticado respaldado por un estado-nación”, y agregó que el adversario mantuvo un acceso persistente a largo plazo a su red. F5 descubrió la brecha el 9 de agosto de 2025, pero retrasó la divulgación pública a petición del Departamento de Justicia de EE. UU. (DoJ).

F5 ha tomado medidas exhaustivas para contener al actor de amenazas y, desde que comenzó estas actividades, no ha detectado ninguna actividad no autorizada nueva. La compañía enfatizó que no ha observado ninguna indicación de que las vulnerabilidades hayan sido explotadas en un contexto malicioso. Los atacantes no accedieron a sus sistemas CRM, financieros, de gestión de casos de soporte o iHealth.

Sin embargo, algunos de los archivos exfiltrados de su plataforma de gestión del conocimiento contenían información de configuración o implementación para un pequeño porcentaje de clientes. F5 notificará directamente a los clientes afectados tras una revisión de los archivos.

Tras el descubrimiento del incidente, F5 contrató los servicios de Google Mandiant y CrowdStrike, además de rotar credenciales y certificados y claves de firma, fortalecer los controles de acceso, implementar herramientas para monitorear mejor las amenazas, reforzar su entorno de desarrollo de productos con controles de seguridad adicionales e implementar mejoras en su arquitectura de seguridad de red.

Se recomienda a los usuarios que apliquen las últimas actualizaciones para BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ y clientes APM lo antes posible para una protección óptima.

En respuesta a la divulgación de F5, la Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) emitió una directiva de emergencia (ED 26-01) que exige a las agencias del Poder Ejecutivo Civil Federal que inventarien los productos F5 BIG-IP, verifiquen si las interfaces de administración en red son accesibles desde la Internet pública y apliquen las actualizaciones recién publicadas de F5 antes del 22 de octubre de 2025.

Bloomberg reveló que los atacantes estuvieron en la red de la empresa durante al menos 12 meses y que la intrusión involucró el uso de una familia de malware denominada BRICKSTORM, que se atribuye a un grupo de ciberespionaje vinculado a China rastreado como UNC5221.

Michael Sikorski, CTO y Jefe de Inteligencia de Amenazas de Unit 42 en Palo Alto Networks, dijo que si un atacante roba el código fuente, lleva tiempo encontrar problemas explotables. En este caso, también robaron información sobre vulnerabilidades no reveladas en las que F5 estaba trabajando activamente para parchear. Esto proporciona la capacidad para que los actores de amenazas exploten vulnerabilidades que no tienen un parche público, lo que podría aumentar la velocidad de creación de exploits. La divulgación de 45 vulnerabilidades en este trimestre frente a solo 6 el trimestre pasado sugiere que F5 se está moviendo lo más rápido que puede para parchear activamente estas fallas robadas antes de que los actores de amenazas puedan explotarlas.

Fuente original: Ver aquí

Comparte esta Noticia:


Noticias Relacionadas

ShinyHunters intensifica ataques de vishing para robar códigos MFA y vulnerar plataformas SaaS

Mandiant, la firma de inteligencia de amenazas de Google, ha reportado una expansión en las actividades de grupos cibercriminales, incluyendo a los conocidos como ShinyHunters, que están utilizando ingeniería social avanzada para comprometer organizaciones. El ataque comienza con una llamada telefónica de ‘vishing’, donde los delincuentes se hacen pasar por

Microsoft corrige vulnerabilidad zero-day crítica en Microsoft Office explotada activamente

Microsoft ha emitido actualizaciones de seguridad de emergencia fuera de su ciclo habitual para corregir una vulnerabilidad crítica de tipo ‘zero-day’, identificada como CVE-2026-21509, que afecta a diversas versiones de Microsoft Office. Entre las versiones impactadas se encuentran Office 2016, 2019, LTSC 2021, LTSC 2024 y las aplicaciones de Microsoft

Nueva variante de ataque ClickFix utiliza scripts de Microsoft App-V para distribuir el malware Amatera

Se ha identificado una nueva campaña maliciosa que utiliza el método denominado ‘ClickFix’, en el cual se engaña a los usuarios mediante una verificación CAPTCHA falsa. En lugar de resolver un rompecabezas convencional, se instruye a la víctima para que copie y ejecute un comando manualmente en el cuadro de

Stanley: El nuevo servicio de malware que burla la seguridad de la Chrome Web Store

En INGENIERÍA TELEMÁTICA SAS nos mantenemos alerta ante las nuevas tácticas de los ciberdelincuentes. Recientemente, investigadores de seguridad han identificado un nuevo modelo de Malware-as-a-Service (MaaS) denominado ‘Stanley’. Este servicio se especializa en la creación y distribución de extensiones maliciosas diseñadas específicamente para evadir los filtros de seguridad de la

Más de 6.000 servidores SmarterMail en riesgo por vulnerabilidad de secuestro automatizado

Recientemente se ha alertado sobre una vulnerabilidad crítica identificada como CVE-2026-23760 que afecta a los servidores de correo SmarterMail. Esta falla de seguridad, clasificada como una derivación de autenticación (Authentication Bypass), permite a atacantes no autenticados secuestrar cuentas de administrador y ejecutar código de forma remota en los servidores afectados.

Desmantelan red criminal vinculada al Tren de Aragua por ataques de malware Ploutus

Un gran jurado federal en Nebraska ha presentado cargos contra 31 sospechosos adicionales involucrados en una sofisticada red de ataques a cajeros automáticos. La operación, presuntamente liderada por miembros de la organización criminal transnacional Tren de Aragua (TdA), utilizaba el malware Ploutus para extraer millones de dólares en efectivo de

Únete a nuestras Noticias

El panorama de amenazas cambia cada día. ¿Está su empresa al tanto de las últimas vulnerabilidades? Suscríbase a nuestro Boletín de Inteligencia Semanal y reciba en su correo un resumen curado por nuestros ingenieros expertos.

  • Reciba alertas priorizadas sobre las vulnerabilidades que le afectan.

  • Entienda las nuevas tácticas y tendencias del cibercrimen.

  • Gratuito, sin spam y con la confianza de Ingeniería Telemática.

Ingresa tus datos para Registrarte