F5 advierte a los administradores de BIG-IP que los dispositivos están siendo vulnerados por piratas informáticos «expertos» que explotan dos vulnerabilidades reveladas recientemente para borrar las señales de su acceso y lograr la ejecución sigilosa del código.
F5 BIG-IP es un conjunto de productos y servicios que ofrecen equilibrio de carga, seguridad y gestión del rendimiento para aplicaciones en red. La plataforma ha sido ampliamente adoptada por grandes empresas y organizaciones gubernamentales, lo que hace que cualquier defecto en el producto sea una preocupación importante.
Durante la semana última, F5 instó a los administradores a aplicar las actualizaciones de seguridad disponibles para dos vulnerabilidades recién descubiertas:
CVE-2023-46747: falla crítica (puntaje CVSS v3.1: 9.8) que permite a un atacante acceder a la utilidad de configuración y realizar la ejecución de código arbitrario.
CVE-2023-46748: falla de inyección SQL de alta gravedad (puntaje CVSS v3.1: 8.8) que permite a atacantes autenticados con acceso de red a la utilidad de configuración ejecutar comandos arbitrarios del sistema.
El 30 de octubre, el proveedor de software actualizó los boletines CVE-2023-46747 y CVE-2023-46748 para alertar sobre explotación activa en la naturaleza.
CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad) ha agregado las dos vulnerabilidades a su catálogo KEV (Vulnerabilidades Explotadas Conocidas), instando a las agencias del gobierno federal a aplicar las actualizaciones disponibles hasta el 21 de noviembre de 2023.
Las versiones impactadas y reparadas se detallan a continuación:
17.1.0 (afectado), corregido en 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG y posteriores
16.1.0 – 16.1.4 (afectado), corregido en 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG y posteriores
15.1.0 – 15.1.10 (afectado), corregido en 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG y posteriores
14.1.0 – 14.1.5 (afectado), corregido en 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG y posteriores
13.1.0 – 13.1.5 (afectado), corregido en 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG y posteriores
F5 también ha publicado un script que ayuda a mitigar la falla de RCE, cuyas instrucciones de uso se pueden encontrar aquí.
F5 ha observado que los actores de amenazas utilizan las dos fallas en combinación, por lo que incluso aplicar la mitigación para CVE-2023-46747 podría ser suficiente para detener la mayoría de los ataques.