F5 publica vulnerabilidad crítica que afecta a su producto BIG-IP

F5 ha publicado 1 nuevo aviso de seguridad que contempla 1 vulnerabilidad, catalogada con severidad Crítica, esta falla afecta al producto BIG-IP (todos sus módulos).

CVE-2023-46747 [CVSSv3:9.8]
Vulnerabilidad de ejecución remota de código no autenticado de la utilidad de configuración BIG-IP

Las solicitudes no divulgadas pueden pasar por alto la autenticación de la utilidad de configuración.
Esta vulnerabilidad puede permitir que un atacante no autenticado con acceso a la red del sistema BIG-IP a través del puerto de administración y/o direcciones IP propias, ejecute comandos arbitrarios del sistema, no hay exposición al plano de datos; se trata sólo de un problema del plano de control, mencionó la compañia.

Se recomienda lo siguiente:

• Instalar las últimas actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
   
• Como mitigación, F5 también puso a disposición un script para los usuarios de las versiones 14.1.0 y posteriores de BIG-IP. 
  Nota: "Este script no debe usarse en ninguna versión de BIG-IP anterior a 14.1.0 o impedirá que se inicie la utilidad de configuración", advirtió la compañía.
   
• Entre otras soluciones temporales disponibles para los usuarios se encuentran a continuación:
  • Bloquear el acceso a la utilidad de configuración, a través de direcciones IP propias
  • Acceso a la utilidad de configuración de bloques, a través de la interfaz de administración.