F5 publica nuevo aviso de seguridad

F5 ha publicado 1 aviso de seguridad que contempla 13 vulnerabilidades. De estas, 7 son clasificadas como severidad Alta y 6 de severidad Media. Dichas vulnerabilidades afectan a los siguientes productos de F5:

• BIG-IP
• BIG-IP Next Central Manager
• APM Clients
• Entre otros

CVE-2024-31156 [CVSSv3: 8.0]
Vulnerabilidad XSS de la utilidad de configuración BIG-IP

Existe una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenadas en una página no divulgada de la utilidad de configuración BIG-IP que permite a un atacante ejecutar JavaScript en el contexto del usuario actualmente conectado.

Un atacante autenticado puede aprovechar esta vulnerabilidad almacenando código HTML o JavaScript malicioso en la utilidad de configuración BIG-IP. Si tiene éxito, un atacante puede ejecutar JavaScript en el contexto del usuario que ha iniciado sesión actualmente. 

CVE-2024-21793 [CVSSv3: 7.5]
Vulnerabilidad de inyección OData de BIG-IP Next Central Manager

Existe una vulnerabilidad de inyección de OData en la API (URI) del Administrador Central de BIG-IP Next.

Un atacante no autenticado puede aprovechar esta vulnerabilidad para ejecutar declaraciones SQL maliciosas a través de la API (URI) del Administrador Central de BIG-IP NEXT.

CVE-2024-26026 [CVSSv3: 7.5]
Vulnerabilidad de inyección SQL de BIG-IP Next Central Manager

Existe una vulnerabilidad de inyección SQL en la API (URI) de BIG-IP Next Central Manager.

Un atacante no autenticado puede aprovechar esta vulnerabilidad para ejecutar declaraciones SQL maliciosas a través de la API (URI) del Administrador Central de BIG-IP Next.

CVE-2024-33608 [CVSSv3: 7.5]
Vulnerabilidad IPsec BIG-IP

Cuando se configura IPsec en un servidor virtual, el tráfico no divulgado puede provocar la finalización del Microkernel de gestión de tráfico (TMM).

El tráfico se interrumpe mientras se reinicia el proceso TMM. Esta vulnerabilidad permite que un atacante remoto no autenticado provoque una denegación de servicio (DoS) en el sistema BIG-IP. No hay exposición al plano de control, este es un problema únicamente del plano de datos.

CVE-2024-25560 [CVSSv3: 7.5]
Vulnerabilidad TMM

Cuando BIG-IP AFM está licenciado y aprovisionado, el tráfico DNS no revelado puede provocar la terminación del Traffic Management Microkernel (TMM). 

El tráfico se interrumpe mientras se reinicia el proceso TMM. Esta vulnerabilidad permite que un atacante remoto no autenticado provoquen una denegación de servicio (DoS) en el sistema BIG-IP o en la instancia BIG-IP Next CNF. No hay exposición al plano de control, este es un problema únicamente del plano de datos.

CVE-2024-32049 [CVSSv3: 7.4]
Vulnerabilidad de BIG-IP Next Central Manager

BIG-IP Next Central Manager puede permitir que un atacante remoto no autenticado obtenga credenciales de instancia de BIG-IP Next LTM/WAF.

Esta vulnerabilidad puede permitir a un atacante no autenticado en una posición man-in-the-middle (MITM) entre una instancia BIG-IP Next LTM/WAF y BIG-IP Next Central Manager descifrar y modificar la comunicación SSL entre BIG-IP Next Central Manager y la instancia BIG-IP Next LTM/WAF.

CVE-2024-28883 [CVSSv3: 7.4]
Vulnerabilidad del cliente VPN de acceso a la red del navegador BIG-IP APM

Existe una vulnerabilidad de validación de origen en el cliente VPN de acceso a la red del navegador BIG-IP APM, que puede permitir a un atacante eludir la inspección del punto final F5.

Un atacante remoto no autenticado con una posición de intermediario (MITM) puede aprovechar esta vulnerabilidad y establecer una conexión de acceso a la red (VPN) con un sistema BIG-IP APM. Esta vulnerabilidad afecta específicamente al cliente VPN de acceso a la red del navegador BIG-IP APM cuando la política de acceso a BIG-IP APM está configurada con un elemento de inspección de punto final en el Editor de políticas visual (VPE), Endpoint Security (cliente o servidor). BIG-IP Edge Client/F5 Access/CLI y otros clientes no se ven afectados.

CVE-2024-33612 [CVSSv3: 6.8]
Vulnerabilidad de BIG-IP Next Central Manager 

CVE-2024-32761 [CVSSv3: 6.5]
Tenants de BIG-IP TMM en VELOS y vulnerabilidad rSeries 

CVE-2024-33604 [CVSSv3: 6.1]
Vulnerabilidad XSS de la utilidad de configuración BIG-IP 

CVE-2024-28889 [CVSSv3: 5.9]
Vulnerabilidad SSL de BIG-IP 

CVE-2024-27202 [CVSSv3: 4.7]
Vulnerabilidad de la utilidad de configuración BIG-IP 

CVE-2024-28132 [CVSSv3: 4.4]
Vulnerabilidad CNF de BIG-IP Next 

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• También puede utilizar iHealth para diagnosticar una vulnerabilidad en los sistemas BIG-IP y BIG-IQ. 
• Para obtener más información sobre el uso de iHealth, consulte K27404821: Uso de F5 iHealth para diagnosticar vulnerabilidades.