Libera tu mente y alcanza tus metas
Vulnerabilidades críticas en F5 BIG-IP (CVE-2023-46747 y CVE-2023-46748)
networking Vulnerabilidades
Vulnerabilidades críticas en F5 BIG-IP (CVE-2023-46747 y CVE-2023-46748)
Ejecución Remota de Código (RCE) no autenticado - CVE-2023-46747 Recientemente, dos investigadores de seguridad (Thomas Hendrickson y Michael Weber de Praetorian Security, Inc.) descubrieron una vulnerabilidad crítica en F5 BIG-IP que perm...
networking Vulnerabilidades

Vulnerabilidades críticas en F5 BIG-IP (CVE-2023-46747 y CVE-2023-46748)

Ejecución Remota de Código (RCE) no autenticado - CVE-2023-46747

Recientemente, dos investigadores de seguridad (Thomas Hendrickson y Michael Weber de Praetorian Security, Inc.) descubrieron una vulnerabilidad crítica en F5 BIG-IP que permite la ejecución remota de código no autenticado. La vulnerabilidad CVE-2023-46747, tiene una puntuación CVSS de 9.8, lo que la convierte en una de las vulnerabilidades más graves jamás descubiertas en F5 BIG-IP.

Los equipos F5-BIG-IP se pueden encontrar facilmente de la siguiente manera:

  • FOFA: app="f5-BIGIP"
  • SHODAN: product:"BIG-IP" - http.favicon.hash:-335242539

F5 informa sobre la explotación activa de esta vulnerabilidad en BIG-IP en combinación con CVE-2023-46748. Shadowserver también informa que ha habido intentos de explotar CVE-2023-46747 en sus sensores honeypot desde que recientemente estuvo disponible en GitHub una plantilla de Nuclei para detectar la vulnerabilidad.

La vulnerabilidad se debe a una falla en la utilidad de configuración F5 BIG-IP. Esta utilidad permite a los administradores administrar y configurar sistemas BIG-IP de forma remota. La vulnerabilidad permite a un atacante eludir la autenticación en la utilidad de configuración y ejecutar comandos arbitrarios del sistema.

Esta vulnerabilidad afecta a todas las versiones de F5 BIG-IP desde 17.1.0 a 13.1.0.

  • 17.1.0 – 17.1.0.3 > Hotfix-BIGIP-17.1.0.3.0.75.4
  • 16.1.0 – 16.1.4 > 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5
  • 15.1.0 – 15.1.10  > 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2
  • 14.1.0 – 14.1.5 > 4.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6
  • 13.1.0 – 13.1.5 > 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2

CVE-2023-46747 es una vulnerabilidad de contrabando de solicitudes. El contrabando de solicitudes es un tipo de ataque en el que un atacante puede enviar varias solicitudes HTTP en un solo paquete, de una forma no prevista por el servidor. Esto puede permitir al atacante explotar vulnerabilidades en la lógica de procesamiento de solicitudes del servidor.

Hay dos formas de mitigar CVE-2023-46747:

  • Aplicar el parche F5 BIG-IP. F5 ha publicado revisiones para todas las versiones afectadas de F5 BIG-IP.
  • Configurar una ACL para restringir el acceso a la interfaz de usuario de administración de tráfico de F5 desde Internet. Esto evitará que los atacantes aprovechen la vulnerabilidad para acceder a su sistema F5 BIG-IP.

Vulnerabilidad de SQL Injection CVE-2023-46748

Además, se descubrió una vulnerabilidad de gravedad alta en la utilidad de configuración F5 BIG-IP identificada como CVE-2023-46748 (CVSS 8.8). Esta vulnerabilidad permite a un atacante con acceso remoto a la utilidad de configuración ver, agregar, modificar o eliminar información en la base de datos back-end.

F5 BIG-IP es una familia completa de controladores de entrega de aplicaciones (ADC) y soluciones de seguridad avanzadas desarrolladas por F5 Networks. Esta tecnología se puede ver en varias formas: dispositivos de hardware, ediciones virtuales y servicios nativos de la nube. El hecho de que numerosas empresas de Fortune 500, organismos gubernamentales e instituciones educativas de renombre confíen en él subraya su importancia.

Si bien el boletín de seguridad de F5 ha aclarado que no hay exposición al plano de datos, enfatizando que se trata puramente de un problema del plano de control, la amenaza no es insignificante. Para explotar CVE-2023-46748, los ciberdelincuentes necesitan dispositivos con la interfaz de usuario de gestión de tráfico (TMUI) expuesta en línea.

Las versiones impactadas son los siguientes:

  • 17.1.0 - 17.1.1
  • 16.1.0 - 16.1.4
  • 15.1.0 - 15.1.10
  • 14.1.0 - 14.1.5
  • 13.1.0 - 13.1.5
CVE-2023-46747 y está estrechamente relacionada con CVE-2022-26377. Al igual que la vulnerabilidad Qlik RCE recientemente reportada, la vulnerabilidad F5 también es un problema de contrabando de solicitudes.

Dada la naturaleza intrínseca de este ataque (que lo ejecutan usuarios legítimos y autenticados), la simple mitigación se convierte en un desafío. La solución más sencilla es limitar el acceso a la utilidad de configuración, permitiendo sólo a personas de total confianza.

Para aquellos que no pueden realizar la transición inmediata a una versión corregida, ciertas medidas temporales pueden restringir el acceso, reduciendo así el riesgo:

El equipo de Project Discovery publicó la prueba de concepto en Github

Ambas vulnerabilidades son tan críticas que CVE-2023-46747 y CVE-2023-46748 se agregaron al catálogo de vulnerabilidades explotadas (KEVC) conocidas de DHS.

Fuente: Praetorian