F5 advierte sobre una vulnerabilidad de seguridad crítica en BIG-IP
F5 ha alertado a sus clientes sobre una vulnerabilidad de seguridad crítica que afecta a BIG-IP y que podría resultar en la ejecución remota de código sin autenticación. El problema, arraigado en el componente de utilidad de configuración, ha sido asignado con el identificador CVE-2023-46747 y lleva una puntuación CVSS de 9.8 sobre un máximo de 10.
«Esta vulnerabilidad puede permitir a un atacante sin autenticación con acceso a la red al sistema BIG-IP a través del puerto de administración y/o las direcciones IP propias ejecutar comandos arbitrarios del sistema», dijo F5 en un aviso publicado el jueves. «No hay exposición de plano de datos; este es un problema de plano de control únicamente».
Versiones de BIG-IP vulnerables
Las siguientes versiones de BIG-IP se han encontrado vulnerables:
- BIG-IP 16.1.x
- BIG-IP 16.2.x
- BIG-IP 17.x
- BIG-IP 18.x
- BIG-IP 19.0.0
- BIG-IP 19.0.1
- BIG-IP 19.1.0
- BIG-IP 19.1.1
- BIG-IP 20.0.0
- BIG-IP 20.0.1
Como medidas de mitigación, F5 también ha puesto a disposición un script de shell para los usuarios de las versiones de BIG-IP 14.1.0 y posteriores. «Este script no debe ser utilizado en ninguna versión de BIG-IP anterior a la 14.1.0 o impedirá que la utilidad de configuración se inicie», advirtió la empresa.
Soluciones temporales disponibles para los usuarios
Otras soluciones temporales disponibles para los usuarios son las siguientes:
- Actualizar a la última versión de F5 BIG-IP lo antes posible.
- Si no es posible actualizar de inmediato, restringir el acceso a la TMUI de BIG-IP a redes de confianza.
- Implementar un firewall de aplicaciones web (WAF) para bloquear el tráfico malicioso.
- Monitorizar los registros de BIG-IP en busca de actividad sospechosa.
Michael Weber y Thomas Hendrickson de Praetorian han sido acreditados con el descubrimiento y reporte de la vulnerabilidad el 4 de octubre de 2023. La empresa de ciberseguridad, en un informe técnico propio, describió a CVE-2023-46747 como un problema de bypass de autenticación que puede llevar a un compromiso total del sistema F5 al ejecutar comandos arbitrarios como root en el sistema objetivo, señalando que está «estrechamente relacionado con CVE-2022-26377».
Recomendaciones de Praetorian
Praetorian también está recomendando que los usuarios restrinjan el acceso a la Interfaz de Usuario de Gestión de Tráfico (TMUI) desde Internet. Cabe destacar que CVE-2023-46747 es la tercera falla de ejecución remota de código sin autenticación descubierta en TMUI después de CVE-2020-5902 y CVE-2022-1388.
«Un aparentemente bajo impacto del error de contrabando de solicitudes puede convertirse en un problema serio cuando dos servicios diferentes descargan responsabilidades de autenticación entre sí», dijeron los investigadores. «Enviar solicitudes al servicio ‘backend’ que asume que el ‘frontend’ manejó la autenticación puede llevar a un comportamiento interesante».
