Vulnerabilidad de ejecución remota de código BIG-IP CVE-2023-46747

Publicado hace 10 meses 27-10-2023

Esta vulnerabilidad puede permitir que un atacante no autenticado con acceso de red al sistema BIG-IP a través del puerto de administración y/o direcciones IP propias ejecute comandos arbitrarios del sistema. No hay exposición al plano de datos; Este es un problema únicamente del plano de control. En un informe técnico propio de la compañia, describió CVE-2023-46747 como un problema de omisión de autenticación que puede llevar a un compromiso total del sistema F5 al ejecutar comandos arbitrarios como root en el sistema de destino, señalando que está relacionado a CVE-2022-26377. También se recomienda que los usuarios restrinjan el acceso a la interfaz de usuario de gestión de tráfico (TMUI) desde Internet. Vale la pena señalar que CVE-2023-46747 es la tercera falla de ejecución remota de código no autenticada descubierta en TMUI después de CVE-2020-5902 y CVE-2022-1388.

Versiones Afectadas

BIG-IP Next

BIG-IP and BIG-IQ

F5 Distributed Cloud Services

F5OS

NGINX

Other products

Recomendaciones

Mitigación
Para las versiones 14.1.0 y posteriores de BIG-IP, puede ejecutar el siguiente script para mitigar este problema.
Importante: Este script no debe usarse en ninguna versión de BIG-IP anterior a 14.1.0 o impedirá que se inicie la utilidad de configuración.

Copie el siguiente script (o descárguelo) y guárdelo en el sistema BIG-IP afectado.
Inicie sesión en la línea de comando del sistema BIG-IP afectado como usuario root.
Si ha descargado el script, cámbiele el nombre al archivo. extensión sh utilizando la siguiente sintaxis de comando:
mv /mitigación . txt /mitigación . sh
Por ejemplo:
mv /root/mitigación . txt /root/mitigación . sh
Haga que el script sea ejecutable usando la utilidad chmod usando la siguiente sintaxis de comando:
chmod +x /mitigación . sh && touch /mitigación . sh
Por ejemplo:
chmod +x /root/mitigación . sh && toque /root/mitigación . sh
Ejecute el script utilizando la siguiente sintaxis de comando:
Importante: para VIPRION, invitados vCMP en VIPRION y inquilinos BIG-IP en VELOS, debe ejecutar este script individualmente en cada blade. Puede hacerlo iniciando sesión en la dirección IP de administración asignada a cada blade y ejecutándolo. Si no asignó una dirección IP de administración para cada blade, es posible que deba conectarse a la consola serie y ejecutarla.
/mitigación . sh
Por ejemplo:
/root/mitigación . sh

Los clientes que tengan una licencia de modo compatible con FIPS 140-2 que NO utilicen esta mitigación, ya que provocará que falle la verificación de integridad de FIPS.
Hasta que sea posible instalar una versión fija, puede utilizar las siguientes secciones como mitigaciones temporales. Estas mitigaciones restringen el acceso a la utilidad de configuración solo a redes o dispositivos confiables, lo que limita la superficie de ataque.

Bloquear el acceso a la utilidad de configuración a través de direcciones IP propias.
Puede bloquear todo acceso a la utilidad de configuración de su sistema BIG-IP utilizando direcciones IP propias.
Cambiar la configuración de bloqueo de puerto a No permitir ninguno para cada dirección IP propia en el sistema.
Si debe abrir algún puerto, debe usar la opción Permitir personalizado, teniendo cuidado de bloquear el acceso a la utilidad de configuración. De forma predeterminada, la utilidad de configuración escucha en el puerto TCP 443. Si modificó el puerto predeterminado, asegúrese de bloquear el acceso al puerto alternativo que configuró.

Nota: Realizar esta acción impide todo acceso a la utilidad de configuración y a iControl REST utilizando la dirección IP propia. Estos cambios también pueden afectar a otros servicios, incluida la interrupción de las configuraciones de alta disponibilidad (HA).

Acceso a la utilidad de configuración de bloques a través de la interfaz de administración.
Para mitigar esta vulnerabilidad para los productos F5 afectados, debe restringir el acceso de administración a los productos F5 solo a usuarios y dispositivos confiables a través de una red segura.

Referencias

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 8 horas 19-09-2024

Broadcom ha publicado el pasado 17 de septiembre un aviso de seguridad en el que se mencionan 2 vulnerabilidades que afectan a su software de virtualización VMware. Específicamente, las vulnerabilidades son:  CVE-2024-38812, con un puntaje CVSS de 9.8, se cl......

Incidente de Seguridad Fortinet
Publicado hace 1 semana 12-09-2024

Fortinet, uno de los principales actores en el sector de la ciberseguridad, ha confirmado una violación de datos tras la afirmación de un atacante de haber sustraído archivos del servidor Microsoft SharePoint de la compañía. Como una de las emp......

Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024

Microsoft, al igual que otros fabricantes, calendariza sus noticias sobre seguridad cada segundo martes de cada mes, lo cual llaman "Patch Tuesday". En este mes de septiembre de 2024, publicó en su página de Security Update Guide su aviso sobre ciberseguri......

BOLETINES RECIENTES

...
Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 8 horas 19-09-2024
Leer más
...
Incidente de Seguridad Fortinet
Publicado hace 1 semana 12-09-2024
Leer más
...
Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024
Leer más