Se han reportado nuevos avisos de seguridad sobre múltiples vulnerabilidades que afectan a productos de F5, que permitirían a un atacante realizar ejecución arbitraria de código, denegación de servicios (DoS), escalamiento de privilegios, entre otros.
Las vulnerabilidades reportadas se componen de 13 (trece) de severidad “Alta” y 4 (cuatro) de severidad “Media”. Las principales se detallan a continuación:
- CVE-2023-22374, de severidad “Alta”, con una puntuación asignada de 8.5. Esta vulnerabilidad se debe a una falla de seguridad en el procesamiento de palabras clave de formato (format strings) en iControl SOAP. Esto permitiría a un atacante autenticado y con acceso a la red bloquear el proceso CGI de iControl SOAP provocando denegación de servicios (DoS) e incluso una potencial ejecución remota de código en el sistema afectado.
- CVE-2023-22358, de severidad “Alta”, con una puntuación asignada de 7.8. Esta vulnerabilidad se debe a una falla de gestión de una biblioteca de enlaces dinámicos (DLL) en BIG-IP Edge Client Windows Installer. Esto permitiría a un atacante obtener escalamiento de privilegios, a través de la carga de una DLL maliciosa y ejecución de códigos arbitrarios en el sistema afectado.
- CVE-2023-22842, de severidad “Alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla de gestión de memoria cuando un perfil SIP se encuentra configurado en el servidor virtual de tipo Enrutamiento de mensajes. Esto permitiría a un atacante remoto no autenticado realizar denegación de servicios (DoS) a través de un ataque del tipo buffer overflow en el sistema afectado.
Se puede acceder al listado completo de vulnerabilidades aquí
Los productos afectados son:
- BIG-IQ Centralized Management, versión 7.1.0, 8.0.0 hasta 8.2.0.
- BIG-IP (APM), versión 13.1.0 hasta a 17.0.0.
- F5OS-C, versión 1.3.0 hasta 1.3.2.
- F5OS-A, versión 1.0.0 hasta 1.0.1, 1.1.0 hasta 1.1.1 y 1.2.0.
Puede acceder al listado completo de productos afectados aquí
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en la siguiente guía:
Referencias:
- https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1490/
- https://thehackernews.com/2023/02/new-high-severity-vulnerabilities.html
- https://www.securityweek.com/f5-working-on-patch-for-big-ip-flaw-that-can-lead-to-dos-code-execution/
- https://nvd.nist.gov/vuln/detail/CVE-2023-22374
- https://nvd.nist.gov/vuln/detail/CVE-2023-22358
- https://nvd.nist.gov/vuln/detail/CVE-2023-22842
- https://my.f5.com/manage/s/article/K000130496
- https://my.f5.com/manage/s/article/K000130415
- https://my.f5.com/manage/s/article/K76964818
- https://my.f5.com/manage/s/article/K08182564
- https://my.f5.com/manage/s/article/K167