F5 publica vulnerabilidades en sus productos BIG-IP

F5 ha publicado 1 nuevo aviso de seguridad que contempla 20 vulnerabilidades, catalogadas en: 14 de severidad Alta, 5 de severidad Media y 1 de severidad baja, esta falla afecta a productos BIG-IP.

CVE-2024-22093 [CVSSv3: 8.7]
Vulnerabilidad REST de BIG-IP iControl 

Cuando se ejecuta en Appliance mode, existe una vulnerabilidad de inyección remota de comandos autenticada en un punto final iControl REST no revelado en sistemas multi blade. Un exploit exitoso puede permitir al atacante cruzar un límite de seguridad. 

Un atacante autenticado con privilegios de administrador de recursos y acceso a la red al punto final iControl REST afectado a través del puerto de administración BIG-IP o direcciones IP propias puede ejecutar comandos arbitrarios del sistema y crear o eliminar archivos. 

CVE-2024-23979 [CVSSv3: 7.5]
Vulnerabilidad de perfiles de autenticación LDAP y CRLDP del certificado de cliente SSL BIG-IP 

Cuando se configura un perfil de autenticación LDAP de certificado de cliente SSL o punto de distribución de lista de revocación de certificados (CRLDP) en un servidor virtual, las solicitudes no divulgadas pueden provocar un aumento en la utilización de recursos de CPU. Esta vulnerabilidad permite que un atacante remoto no autenticado provoque una degradación del servicio que puede generar una denegación de servicio (DoS) en el sistema BIG-IP.

CVE-2024-21849  [CVSSv3: 7.5]
Vulnerabilidad de Websockets BIG-IP 

Cuando se configura una política de seguridad WAF/ASM avanzada y un perfil Websockets en un servidor virtual, el tráfico no divulgado puede hacer que finalice el proceso de Microkernel de gestión de tráfico (TMM). Esta vulnerabilidad permite que un atacante remoto no autenticado genere una denegación de servicio (DoS) en el sistema BIG-IP.

CVE-2024-23982[CVSSv3: 7.5]
Vulnerabilidad PEM BIG-IP

Cuando se configura un perfil de clasificación BIG-IP PEM en un servidor virtual UDP, las solicitudes no divulgadas pueden provocar la finalización del Microkernel de gestión de tráfico (TMM). Este problema afecta a los motores de clasificación que utilizan firmas publicadas entre el 08 de septiembre 2022 y el 16 de febrero 2023. 

CVE-2024-21789, CVE-2024-23308 [CVSSv3: 7.5]
Vulnerabilidad BIG-IP Advanced WAF y BIG-IP ASM

Cuando se configura una política de seguridad BIG-IP Advanced WAF/ASM en un servidor virtual, las solicitudes no divulgadas pueden provocar un aumento en la utilización de recursos de memoria. Esta vulnerabilidad permite que un atacante remoto no autenticado genere una degradación del servicio que puede provocar una denegación de servicio (DoS) en el sistema BIG-IP.

CVE-2024-24775 [CVSSv3: 7.5]
Vulnerabilidad de BIG-IP TMM 

Cuando un servidor virtual está habilitado con un grupo VLAN y el escucha SNAT está configurado, el tráfico no divulgado puede hacer que finalice el Microkernel de gestión de tráfico (TMM).

CVE-2024-23805 [CVSSv3: 7.5]
Vulnerabilidad del Módulo F5 de visibilidad e informes de aplicaciones BIG-IP Advanced WAF/ASM 

Las solicitudes no divulgadas pueden provocar la finalización del Microkernel de gestión de tráfico (TMM). Para el módulo de informes y visibilidad de aplicaciones, esto puede ocurrir cuando el perfil de análisis HTTP con URL habilitadas en Entidades recopiladas está configurado en un servidor virtual y las variables de base de datos avr[.]IncludeServerInURI o avr[.]CollectOnlyHostnameFromURI están habilitadas. Para BIG-IP Advanced WAF y ASM, esto puede ocurrir cuando se configura un perfil DoS o Bot Defense en un servidor virtual y las variables de base de datos avr[.]IncludeServerInURI o avr[.]]CollectOnlyHostnameFromURI están habilitadas.

CVE-2024-21763 [CVSSv3: 7.5]
Vulnerabilidad AFM BIG-IP 

Cuando el perfil DoS o DoS del dispositivo BIG-IP AFM se configura con el vector de ataque NXDOMAIN y la detección de malos actores, las consultas no reveladas pueden provocar la finalización del Microkernel de gestión de tráfico (TMM).

CVE-2024-21771 [CVSSv3: 7.5]
Vulnerabilidad de coincidencia de firmas BIG-IP AFM 

Para patrones de tráfico no especificados, el motor BIG-IP AFM IPS puede dedicar una cantidad excesiva de tiempo a comparar el tráfico con las firmas, lo que provoca el reinicio del microkernel de gestión de tráfico (TMM) y la interrupción del tráfico.

CVE-2024-23314 [CVSSv3: 7.5]
Vulnerabilidad HTTP/2 de BIG-IP 

Cuando HTTP/2 está configurado en sistemas BIG-IP o BIG-IP Next SPK, las respuestas no reveladas pueden provocar la finalización del Microkernel de gestión de tráfico (TMM). 

CVE-2024-24989 [CVSSv3: 7.5]
Vulnerabilidad QUIC HTTP/3 de NGINX 

Cuando NGINX Plus o NGINX OSS están configurados para usar el módulo HTTP/3 QUIC, las solicitudes no divulgadas pueden hacer que los procesos de trabajo de NGINX finalicen.

CVE-2024-24990 [CVSSv3: 7.5]
Vulnerabilidad QUIC NGINX HTTP/3 

Cuando NGINX Plus o NGINX OSS están configurados para usar el módulo HTTP/3 QUIC, las solicitudes no divulgadas pueden hacer que los procesos de trabajo de NGINX finalicen. 

CVE-2024-22389 [CVSSv3: 7.2]
Vulnerabilidad de API REST de BIG-IP iControl 

Cuando BIG-IP se implementa en alta disponibilidad (HA) y se actualiza un token de API REST de iControl, el cambio no se sincroniza con el dispositivo par. Esta vulnerabilidad puede permitir que un atacante autenticado utilice tokens de API eliminados o actualizados en el dispositivo del mismo nivel hasta que caduquen.

CVE-2024-21782 [CVSSv3: 6.7]
Vulnerabilidad scp BIG-IP y BIG-IQ 

CVE-2024-24966 [CVSSv3: 6.2]
Vulnerabilidad F5OS 

CVE-2024-23976 [CVSSv3: 6.0]
Vulnerabilidad iAppsLX en modo de dispositivo BIG-IP 

CVE-2024-23607 [CVSSv3: 5.5]
Vulnerabilidad de la utilidad F5OS QKView

CVE-2024-23306 [CVSSv3: 4.4]
Vulnerabilidad CNF de BIG-IP Next 

CVE-2024-23603 [CVSSv3: 3.8]
Vulnerabilidad de la utilidad de configuración BIG-IP Advanced WAF y BIG-IP ASM 

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Como este ataque lo llevan a cabo usuarios legítimos y autenticados, no existe una mitigación viable que también permita a los usuarios acceder a la utilidad de configuración. La única mitigación es eliminar el acceso a los usuarios en los que no se confía completamente.
• Hasta que se pueda instalar una versión fija, F5 facilita las siguientes secciones como mitigaciones temporales. Estas mitigaciones restringen el acceso a la utilidad de configuración solo a redes o dispositivos confiables, lo que limita la superficie de ataque.
• Bloquear el acceso a la utilidad de configuración a través de direcciones IP propias: para hacerlo, puede cambiar la  configuración  de bloqueo de puerto a “No permitir ninguno” para cada dirección IP propia en el sistema. Si debe abrir algún puerto, debe usar la  opción “Permitir personalizado” , teniendo cuidado de bloquear el acceso a la utilidad de configuración. De forma predeterminada, la utilidad de configuración se escucha en el puerto TCP 443. Si modificó el puerto predeterminado, asegúrese de bloquear el acceso al puerto alternativo que configuró.
• Bloquee el acceso a la utilidad de configuración de bloques a través de la interfaz de administración