F5 ha alertado a los clientes sobre una vulnerabilidad de seguridad crítica que afecta a BIG-IP y que podría provocar la ejecución remota de código no autenticado.
Al problema, originado en el componente de la utilidad de configuración, se le ha asignado el identificador CVE CVE-2023-46747y tiene una puntuación CVSS de 9,8 sobre un máximo de 10.
«Esta vulnerabilidad puede permitir que un atacante no autenticado con acceso de red al sistema BIG-IP a través del puerto de administración y/o direcciones IP propias ejecute comandos arbitrarios del sistema», F5 dicho en un aviso publicado el jueves. «No hay exposición al plano de datos; se trata sólo de un problema del plano de control».
Se ha descubierto que las siguientes versiones de BIG-IP son vulnerables:
- 17.1.0 (Corregido en 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG)
- 16.1.0 – 16.1.4 (Corregido en 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG)
- 15.1.0 – 15.1.10 (Corregido en 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG)
- 14.1.0 – 14.1.5 (Corregido en 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG)
- 13.1.0 – 13.1.5 (Corregido en 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG)
Como mitigación, F5 también puso a disposición un script de shell para los usuarios de las versiones 14.1.0 y posteriores de BIG-IP. «Este script no debe usarse en ninguna versión de BIG-IP anterior a 14.1.0 o impedirá que se inicie la utilidad de configuración», advirtió la compañía.
Otras soluciones temporales disponibles para los usuarios se encuentran a continuación:
A Michael Weber y Thomas Hendrickson de Praetorian se les atribuye el descubrimiento y el informe de la vulnerabilidad el 4 de octubre de 2023.
La empresa de ciberseguridad, en un reporte técnico propio, describió CVE-2023-46747 como un problema de omisión de autenticación que puede llevar a un compromiso total del sistema F5 al ejecutar comandos arbitrarios como root en el sistema de destino, y señaló que está «estrechamente relacionado con CVE-2022-26377«.
Praetorian también recomienda que los usuarios restrinjan el acceso a la interfaz de usuario de gestión de tráfico (TMUI) desde Internet. Vale la pena señalar que CVE-2023-46747 es la tercera falla de ejecución remota de código no autenticado descubierta en TMUI después de CVE-2020-5902 y CVE-2022-1388.
«Un error de contrabando de solicitudes aparentemente de bajo impacto puede convertirse en un problema grave cuando dos servicios diferentes se transfieren responsabilidades de autenticación entre sí», dijeron los investigadores. «Enviar solicitudes al servicio ‘backend’ que asume que la autenticación manejada por el ‘frontend’ puede conducir a un comportamiento interesante».