Alerta: F5 advierte sobre ataques activos que aprovechan la vulnerabilidad de BIG-IP

teknomers


01 de noviembre de 2023Sala de redacciónVulnerabilidad / Ataque Cibernético

F5 advierte sobre el abuso activo de una falla de seguridad crítica en BIG-IP menos de una semana después de su divulgación pública que podría resultar en la ejecución de comandos arbitrarios del sistema como parte de una cadena de exploits.

Seguimiento como CVE-2023-46747 (Puntuación CVSS: 9,8), el vulnerabilidad permite que un atacante no autenticado con acceso a la red del sistema BIG-IP a través del puerto de administración logre la ejecución del código. Una prueba de concepto (PoC) explotar desde entonces se ha hecho disponible por Proyecto Descubrimiento.

Afecta a las siguientes versiones del software:

  • 17.1.0 (Corregido en 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG)
  • 16.1.0 – 16.1.4 (Corregido en 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG)
  • 15.1.0 – 15.1.10 (Corregido en 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG)
  • 14.1.0 – 14.1.5 (Corregido en 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG)
  • 13.1.0 – 13.1.5 (Corregido en 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG)

Ahora la empresa es alertando que ha «observado actores de amenazas que utilizan esta vulnerabilidad para explotar CVE-2023-46748», que se refiere a una vulnerabilidad de inyección SQL autenticada en la utilidad de configuración BIG-IP.

La seguridad cibernética

«Esta vulnerabilidad puede permitir que un atacante autenticado con acceso de red a la utilidad de configuración a través del puerto de administración BIG-IP y/o direcciones IP propias ejecute comandos arbitrarios del sistema», F5 anotado en un aviso para CVE-2023-46748 (puntuación CVSS: 8,8).

En otras palabras, los malos actores están encadenando las dos fallas para ejecutar comandos arbitrarios del sistema. Para buscar indicadores de compromiso (IoC) asociados con la falla de inyección SQL, se recomienda a los usuarios verificar el archivo /var/log/tomcat/catalina.out en busca de entradas sospechosas como la siguiente: 0

...
java.sql.SQLException: Column not found: 0.
{...)
sh: no job control in this shell
sh-4.2$ <EXECUTED SHELL COMMAND
sh-4.2$ exit.

La Fundación Shadowserver, en una publicación en X (anteriormente Twitter), dicho ha estado «viendo intentos de F5 BIG-IP CVE-2023-46747 en nuestros sensores honeypot» desde el 30 de octubre de 2023, por lo que es imperativo que los usuarios actúen rápidamente para aplicar las correcciones.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57