F5 ha publicado 1 nuevo aviso de seguridad que contempla 20 vulnerabilidades, catalogadas en: 14 de severidad Alta, 5 de severidad Media y 1 de severidad baja, esta falla afecta a productos BIG-IP.
CVE-2024-22093 [CVSSv3: 8.7]
Vulnerabilidad REST de BIG-IP iControl
Cuando se ejecuta en Appliance mode, existe una vulnerabilidad de inyección remota de comandos autenticada en un punto final iControl REST no revelado en sistemas multi blade. Un exploit exitoso puede permitir al atacante cruzar un límite de seguridad.
Un atacante autenticado con privilegios de administrador de recursos y acceso a la red al punto final iControl REST afectado a través del puerto de administración BIG-IP o direcciones IP propias puede ejecutar comandos arbitrarios del sistema y crear o eliminar archivos.
CVE-2024-23979 [CVSSv3: 7.5]
Vulnerabilidad de perfiles de autenticación LDAP y CRLDP del certificado de cliente SSL BIG-IP
Cuando se configura un perfil de autenticación LDAP de certificado de cliente SSL o punto de distribución de lista de revocación de certificados (CRLDP) en un servidor virtual, las solicitudes no divulgadas pueden provocar un aumento en la utilización de recursos de CPU. Esta vulnerabilidad permite que un atacante remoto no autenticado provoque una degradación del servicio que puede generar una denegación de servicio (DoS) en el sistema BIG-IP.
CVE-2024-21849 [CVSSv3: 7.5]
Vulnerabilidad de Websockets BIG-IP
Cuando se configura una política de seguridad WAF/ASM avanzada y un perfil Websockets en un servidor virtual, el tráfico no divulgado puede hacer que finalice el proceso de Microkernel de gestión de tráfico (TMM). Esta vulnerabilidad permite que un atacante remoto no autenticado genere una denegación de servicio (DoS) en el sistema BIG-IP.
CVE-2024-23982[CVSSv3: 7.5]
Vulnerabilidad PEM BIG-IP
Cuando se configura un perfil de clasificación BIG-IP PEM en un servidor virtual UDP, las solicitudes no divulgadas pueden provocar la finalización del Microkernel de gestión de tráfico (TMM). Este problema afecta a los motores de clasificación que utilizan firmas publicadas entre el 08 de septiembre 2022 y el 16 de febrero 2023.
CVE-2024-21789, CVE-2024-23308 [CVSSv3: 7.5]
Vulnerabilidad BIG-IP Advanced WAF y BIG-IP ASM
Cuando se configura una política de seguridad BIG-IP Advanced WAF/ASM en un servidor virtual, las solicitudes no divulgadas pueden provocar un aumento en la utilización de recursos de memoria. Esta vulnerabilidad permite que un atacante remoto no autenticado genere una degradación del servicio que puede provocar una denegación de servicio (DoS) en el sistema BIG-IP.
CVE-2024-24775 [CVSSv3: 7.5]
Vulnerabilidad de BIG-IP TMM
Cuando un servidor virtual está habilitado con un grupo VLAN y el escucha SNAT está configurado, el tráfico no divulgado puede hacer que finalice el Microkernel de gestión de tráfico (TMM).
CVE-2024-23805 [CVSSv3: 7.5]
Vulnerabilidad del Módulo F5 de visibilidad e informes de aplicaciones BIG-IP Advanced WAF/ASM
Las solicitudes no divulgadas pueden provocar la finalización del Microkernel de gestión de tráfico (TMM). Para el módulo de informes y visibilidad de aplicaciones, esto puede ocurrir cuando el perfil de análisis HTTP con URL habilitadas en Entidades recopiladas está configurado en un servidor virtual y las variables de base de datos avr[.]IncludeServerInURI o avr[.]CollectOnlyHostnameFromURI están habilitadas. Para BIG-IP Advanced WAF y ASM, esto puede ocurrir cuando se configura un perfil DoS o Bot Defense en un servidor virtual y las variables de base de datos avr[.]IncludeServerInURI o avr[.]]CollectOnlyHostnameFromURI están habilitadas.
CVE-2024-21763 [CVSSv3: 7.5]
Vulnerabilidad AFM BIG-IP
Cuando el perfil DoS o DoS del dispositivo BIG-IP AFM se configura con el vector de ataque NXDOMAIN y la detección de malos actores, las consultas no reveladas pueden provocar la finalización del Microkernel de gestión de tráfico (TMM).
CVE-2024-21771 [CVSSv3: 7.5]
Vulnerabilidad de coincidencia de firmas BIG-IP AFM
Para patrones de tráfico no especificados, el motor BIG-IP AFM IPS puede dedicar una cantidad excesiva de tiempo a comparar el tráfico con las firmas, lo que provoca el reinicio del microkernel de gestión de tráfico (TMM) y la interrupción del tráfico.
CVE-2024-23314 [CVSSv3: 7.5]
Vulnerabilidad HTTP/2 de BIG-IP
Cuando HTTP/2 está configurado en sistemas BIG-IP o BIG-IP Next SPK, las respuestas no reveladas pueden provocar la finalización del Microkernel de gestión de tráfico (TMM).
CVE-2024-24989 [CVSSv3: 7.5]
Vulnerabilidad QUIC HTTP/3 de NGINX
Cuando NGINX Plus o NGINX OSS están configurados para usar el módulo HTTP/3 QUIC, las solicitudes no divulgadas pueden hacer que los procesos de trabajo de NGINX finalicen.
CVE-2024-24990 [CVSSv3: 7.5]
Vulnerabilidad QUIC NGINX HTTP/3
Cuando NGINX Plus o NGINX OSS están configurados para usar el módulo HTTP/3 QUIC, las solicitudes no divulgadas pueden hacer que los procesos de trabajo de NGINX finalicen.
CVE-2024-22389 [CVSSv3: 7.2]
Vulnerabilidad de API REST de BIG-IP iControl
Cuando BIG-IP se implementa en alta disponibilidad (HA) y se actualiza un token de API REST de iControl, el cambio no se sincroniza con el dispositivo par. Esta vulnerabilidad puede permitir que un atacante autenticado utilice tokens de API eliminados o actualizados en el dispositivo del mismo nivel hasta que caduquen.
CVE-2024-21782 [CVSSv3: 6.7]
Vulnerabilidad scp BIG-IP y BIG-IQ
CVE-2024-24966 [CVSSv3: 6.2]
Vulnerabilidad F5OS
CVE-2024-23976 [CVSSv3: 6.0]
Vulnerabilidad iAppsLX en modo de dispositivo BIG-IP
CVE-2024-23607 [CVSSv3: 5.5]
Vulnerabilidad de la utilidad F5OS QKView
CVE-2024-23306 [CVSSv3: 4.4]
Vulnerabilidad CNF de BIG-IP Next
CVE-2024-23603 [CVSSv3: 3.8]
Vulnerabilidad de la utilidad de configuración BIG-IP Advanced WAF y BIG-IP ASM
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
https://my.f5.com/manage/s/article/K000138353 |
Producto | Versión |
---|---|
BIG-IP |
17.1.0 16.1.0 - 16.1.4 15.1.0 - 15.1.10 14.1.0 - 14.1.5 13.1.0 - 13.1.5 |
Application Visibility and Reporting module and BIG-IP (Advanced WAF ASM) |
17.1.0 16.1.0 - 16.1.3 15.1.0 - 15.1.9 |
BIG-IP Next SPK |
1.5.0 - 1.8.0 |
BIG-IP Next CNF |
1.1.0 - 1.1.1 |
NGINX Plus |
R30 - R31 |
NGINX Open Source |
1.25.0 - 1.25.3 |
BIG-IQ Centralized Manager |
8.0.0 - 8.3.0 |
F5OS-A |
1.2.0 1.3.0 - 1.3.2 |
F5OS-C |
1.3.0 - 1.5.1 1.3.0 - 1.5.1 |