Cómo los atacantes combinan vulnerabilidades de F5 BIG‑IP con fallas de Linux para penetrar redes corporativas
Los atacantes están explotando fallas de ejecución remota en dispositivos F5 BIG‑IP APM expuestos a internet para obtener acceso inicial a redes corporativas. Después del acceso inicial, vulnerabilidades locales del kernel de Linux como Copy Fail (CVE‑2026‑31431) y Dirty Frag (CVE‑2026‑43284) pueden escalar privileg...
How are hackers chaining vulnerabilities in internet‑facing F5 BIG‑IP appliances with Linux privilege‑escalation bugs like CopyFail (CVE‑202Modern enterprise intrusions often begin at exposed edge appliances before escalating privileges and pivoting deeper into internal systems.
Prompt de IA
Create a landscape editorial hero image for this Studio Global article: How are hackers chaining vulnerabilities in internet‑facing F5 BIG‑IP appliances with Linux privilege‑escalation bugs like CopyFail (CVE‑202. Article summary: Hackers are reportedly using a two-step chain: first they gain initial access on exposed F5 BIG‑IP APM devices through a remotely exploitable flaw such as CVE‑2025‑53521, then they use Linux local privilege-escalation bu. Topic tags: general, government, education, documentation, general web. Reference image context from search candidates: Reference image 1: visual subject "A local privilege escalation (LPE) vulnerability, dubbed Copy Fail (CVE-2026-31431), has been identified in the Linux kernel's `authencesn` cryptographic template. This logic flaw" source context "Weekly Threat Bulletin – May 6th, 2026 | F5 Labs" Reference image 2: visual subject "# CVE-2026
openai.com
Los dispositivos de seguridad expuestos a internet —como gateways VPN o proxies de acceso— se están convirtiendo cada vez más en el punto inicial de grandes intrusiones corporativas. Informes recientes muestran cómo los atacantes comprometen F5 BIG‑IP Access Policy Manager (APM) y luego encadenan vulnerabilidades del kernel de Linux para obtener control total del sistema.
Este enfoque refleja una tendencia clara en las intrusiones modernas: primero se compromete el perímetro de la red, después se elevan privilegios en el sistema subyacente y finalmente se avanza hacia servicios internos de alto valor, como plataformas de identidad o herramientas de colaboración.
Paso 1: acceso inicial mediante un dispositivo F5 BIG‑IP expuesto
Muchas organizaciones utilizan F5 BIG‑IP APM como puerta de entrada para VPN corporativas, autenticación o acceso remoto a aplicaciones internas. Debido a que estos sistemas suelen estar expuestos directamente a internet, representan un objetivo muy atractivo para los atacantes.
Una vulnerabilidad crítica identificada como CVE‑2025‑53521 permite ejecutar código remoto sin autenticación cuando existe una política de acceso APM configurada en un servidor virtual. Un atacante puede enviar tráfico especialmente manipulado y ejecutar comandos arbitrarios en el dispositivo sin credenciales.
Este fallo ya se ha observado en ataques reales y ha sido incluido en listas de vulnerabilidades explotadas activamente.
Una vez que logran ejecutar código en el appliance, los atacantes suelen instalar web shells o abrir una sesión persistente en el sistema. Ese acceso inicial convierte al dispositivo perimetral en un punto de apoyo para continuar el ataque.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
¿Cuál es la respuesta corta a "Cómo los atacantes combinan vulnerabilidades de F5 BIG‑IP con fallas de Linux para penetrar redes corporativas"?
Los atacantes están explotando fallas de ejecución remota en dispositivos F5 BIG‑IP APM expuestos a internet para obtener acceso inicial a redes corporativas.
¿Cuáles son los puntos clave a validar primero?
Los atacantes están explotando fallas de ejecución remota en dispositivos F5 BIG‑IP APM expuestos a internet para obtener acceso inicial a redes corporativas. Después del acceso inicial, vulnerabilidades locales del kernel de Linux como Copy Fail (CVE‑2026‑31431) y Dirty Frag (CVE‑2026‑43284) pueden escalar privilegios hasta root.
¿Qué debo hacer a continuación en la práctica?
Con control total del dispositivo perimetral, los intrusos pueden pivotar hacia servicios internos —como servidores Confluence— para robar credenciales y expandir el ataque dentro de la empresa.
Paso 2: escalar privilegios con vulnerabilidades del kernel de Linux
El acceso inicial en el dispositivo no siempre proporciona control total. En muchos casos, los atacantes quedan limitados a una cuenta con privilegios reducidos o a un entorno restringido.
Para superar esa limitación, pueden explotar vulnerabilidades de escalada de privilegios local (LPE) en el kernel de Linux.
Copy Fail (CVE‑2026‑31431)
La vulnerabilidad conocida como Copy Fail fue divulgada en abril de 2026 y afecta a kernels de Linux compilados desde 2017. El fallo se encuentra en el componente algif_aead, parte de la interfaz criptográfica del kernel para usuarios (AF_ALG).
Un proceso sin privilegios puede manipular la memoria de la page cache mediante operaciones específicas y aprovechar esa corrupción para obtener privilegios de root.
Es importante señalar que no puede explotarse de forma remota por sí sola. El atacante necesita acceso local al sistema —por ejemplo, una shell obtenida mediante otra vulnerabilidad— para utilizarla.
Dirty Frag (CVE‑2026‑43284)
El término Dirty Frag describe un conjunto de fallas del kernel relacionadas con componentes de red, especialmente los módulos IPsec ESP (esp4 y esp6).
Estas vulnerabilidades permiten que un usuario local manipule la memoria de la page cache a través de rutas de red del kernel y escale privilegios hasta root en numerosos sistemas Linux.
Al igual que Copy Fail, Dirty Frag es una vulnerabilidad posterior a la intrusión inicial: solo puede aprovecharse si el atacante ya ejecuta código en el host.
Paso 3: movimiento lateral desde el perímetro hacia la red interna
Una vez que el atacante obtiene acceso root al dispositivo comprometido, puede extraer información crítica como credenciales, tokens de autenticación o secretos de configuración almacenados en el sistema.
Investigadores de seguridad han observado incidentes donde los intrusos se desplazaron desde un appliance F5 comprometido hacia sistemas internos, incluidos servidores Confluence utilizados para documentación y colaboración dentro de la empresa.
Los dispositivos perimetrales suelen tener amplias relaciones de confianza dentro de la red corporativa. Si se comprometen, pueden facilitar acciones como:
Acceso a redes de administración internas
Robo de certificados o cookies de autenticación
Consulta de servicios de identidad
Movimiento lateral hacia servidores de aplicaciones
Investigadores de Microsoft señalan que atacar appliances expuestos a internet se está convirtiendo en una táctica cada vez más común, precisamente porque estos sistemas están expuestos externamente pero altamente confiados dentro de la red corporativa.
Por qué esta cadena de ataque resulta tan efectiva
La eficacia del ataque radica en la combinación de vulnerabilidades que, de forma aislada, parecen limitadas:
Las RCE en dispositivos perimetrales proporcionan acceso inicial.
Las fallas de escalada de privilegios en Linux convierten ese acceso en control total del sistema.
La posición privilegiada en la red permite avanzar hacia servicios internos.
Cada etapa amplifica la anterior. Un acceso limitado a un dispositivo en el borde de la red puede terminar en una brecha empresarial completa si el atacante logra escalar privilegios y moverse lateralmente.
Prioridades de defensa para las organizaciones
1. Aplicar parches en F5 BIG‑IP de inmediato
Las organizaciones deben actualizar las implementaciones vulnerables de BIG‑IP APM para corregir CVE‑2025‑53521, especialmente si el sistema está expuesto a internet.
Las agencias de ciberseguridad recomiendan tratar esta actualización como prioritaria debido a la explotación activa observada.
2. Actualizar el kernel de Linux
Es fundamental aplicar parches que corrijan:
CVE‑2026‑31431 (Copy Fail)
CVE‑2026‑43284 y fallas relacionadas de Dirty Frag
Estas vulnerabilidades afectan a muchas distribuciones Linux populares y a kernels publicados desde 2017.
3. Restringir el acceso de shell en appliances perimetrales
Dado que Copy Fail y Dirty Frag requieren ejecución local, limitar o deshabilitar el acceso de shell reduce significativamente el riesgo de explotación.
El acceso administrativo debe restringirse y monitorearse estrictamente.
4. Deshabilitar módulos vulnerables si no se puede parchear de inmediato
Si la actualización no es posible a corto plazo, puede considerarse bloquear temporalmente algunos módulos del kernel relacionados con Dirty Frag —como esp4 y esp6— tras verificar que no afecte operaciones críticas.
5. Fortalecer contenedores y entornos de kernel compartido
Las vulnerabilidades LPE del kernel pueden facilitar escapes desde contenedores. Para reducir riesgos:
Evitar contenedores privilegiados
Limitar módulos del kernel innecesarios
Aislar cargas de trabajo no confiables
6. Vigilar señales de post‑explotación
La detección temprana debe centrarse en indicadores como:
Sesiones de shell inesperadas en appliances perimetrales
Cargas anómalas de módulos del kernel
Cambios repentinos de privilegios a root
Conexiones salientes inusuales desde sistemas de infraestructura
Intentos de autenticación hacia servicios internos como plataformas de colaboración
Evidencia disponible y limitaciones
Los informes de seguridad respaldan el patrón general de ataque: comprometer dispositivos perimetrales expuestos, escalar privilegios en Linux y luego pivotar hacia servicios internos.
Sin embargo, la evidencia pública de campañas que encadenen exactamente CVE‑2025‑53521 con Copy Fail y Dirty Frag en múltiples víctimas sigue siendo limitada. Las vulnerabilidades son técnicamente compatibles y pueden combinarse, pero las tácticas específicas pueden variar según el entorno atacado.
La lección de seguridad más amplia
Durante años, los appliances perimetrales se consideraron dispositivos de seguridad especialmente robustos. En la práctica, cada vez se están convirtiendo más en puntos de acceso iniciales de alto valor para los atacantes.
Cuando un dispositivo expuesto a internet ejecuta Linux internamente, cualquier vulnerabilidad de escalada de privilegios en ese ecosistema puede formar parte de una cadena de intrusión mayor. Por ello, el parcheo rápido, el control estricto de accesos y la monitorización intensiva del perímetro son hoy elementos esenciales para la defensa empresarial.
Mitigation Guide: Linux Kernel "Dirty Frag" (CVE-2026- ...
Comments
0 comments