Vulnerabilidades de ejecución arbitraria de código y denegación de servicios (DoS) en F5

Se han reportado nuevos avisos de seguridad sobre múltiples vulnerabilidades que afectan a productos de F5, que permitirían a un atacante realizar ejecución arbitraria de código, denegación de servicios (DoS), escalamiento de privilegios, entre otros. 

Las vulnerabilidades reportadas se componen de 13 (trece) de severidad “Alta” y 4 (cuatro) de severidad “Media”. Las principales se detallan a continuación: 

• CVE-2023-22374, de severidad “Alta”, con una puntuación asignada de 8.5. Esta vulnerabilidad se debe a una falla de seguridad en el procesamiento de palabras clave de formato (format strings) en iControl SOAP. Esto permitiría a un atacante autenticado y con acceso a la red bloquear el proceso CGI de iControl SOAP provocando denegación de servicios (DoS) e incluso una potencial ejecución remota de código en el sistema afectado. 
• CVE-2023-22358, de severidad “Alta”, con una puntuación asignada de 7.8. Esta vulnerabilidad se debe a una falla de gestión de una biblioteca de enlaces dinámicos (DLL) en BIG-IP Edge Client Windows Installer. Esto permitiría a un atacante obtener escalamiento de privilegios, a través de la carga de una DLL maliciosa y ejecución de códigos arbitrarios en el sistema afectado. 
• CVE-2023-22842, de severidad “Alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla de gestión de memoria cuando un perfil SIP se encuentra configurado en el servidor virtual de tipo Enrutamiento de mensajes. Esto permitiría a un atacante remoto no autenticado realizar denegación de servicios (DoS) a través de un ataque del tipo buffer overflow en el sistema afectado. 

Se puede acceder al listado completo de vulnerabilidades aquí 

Los productos afectados son: 

• BIG-IQ Centralized Management, versión 7.1.0, 8.0.0 hasta 8.2.0. 
• BIG-IP (APM), versión 13.1.0 hasta a 17.0.0. 
• F5OS-C, versión 1.3.0 hasta 1.3.2. 

• F5OS-A, versión 1.0.0 hasta 1.0.1, 1.1.0 hasta 1.1.1 y 1.2.0. 

Puede acceder al listado completo de productos afectados aquí 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en la siguiente guía: 

• https://my.f5.com/manage/s/article/K167 

Referencias:  

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1490/ 
• https://thehackernews.com/2023/02/new-high-severity-vulnerabilities.html 
• https://www.securityweek.com/f5-working-on-patch-for-big-ip-flaw-that-can-lead-to-dos-code-execution/ 
• https://nvd.nist.gov/vuln/detail/CVE-2023-22374 
• https://nvd.nist.gov/vuln/detail/CVE-2023-22358 
• https://nvd.nist.gov/vuln/detail/CVE-2023-22842 
• https://my.f5.com/manage/s/article/K000130496 
• https://my.f5.com/manage/s/article/K000130415 
• https://my.f5.com/manage/s/article/K76964818 
• https://my.f5.com/manage/s/article/K08182564 
• https://my.f5.com/manage/s/article/K167