Las dos vulnerabilidades BIG-IP (CVE-2023-46747, CVE-2023-46748) para las que F5 Networks ha lanzado recientemente revisiones están siendo explotadas por atacantes en la naturaleza, confirmó la compañía.
“Es importante tener en cuenta que no todos los sistemas explotados pueden mostrar los mismos indicadores y, de hecho, un atacante hábil puede eliminar rastros de su trabajo. No es posible demostrar que un dispositivo no ha sido comprometido; cuando hay alguna incertidumbre, se debe considerar que el dispositivo está comprometido”, advirtió F5 en los avisos actualizados.
CVE-2023-46747 y CVE-2023-46748 explotados
CVE-2023-46747 es una vulnerabilidad de omisión de autenticación que afecta a la utilidad de configuración de BIG-IP (también conocida como interfaz de usuario de gestión de tráfico) y que puede provocar la ejecución remota de código no autenticado. Thomas Hendrickson y Michael Weber de Praetorian Security informaron de ello a F5 a principios de octubre.
CVE-2023-46748 es una vulnerabilidad de inyección SQL que afecta al mismo componente BIG-IP y puede permitir que un atacante autenticado con acceso a la red ejecute comandos arbitrarios del sistema. Fue informado a F5 por un investigador anónimo.
F5 lanzó revisiones para los dispositivos vulnerables el 26 de octubre. Unos días después, Project Discovery lanzó una plantilla Nuclei con la cadena de ataque CVE-2023-46747 y Praetorian publicó detalles técnicos relacionados con la vulnerabilidad y cómo la explotaron.
A diferencia de la mayoría de los escáneres de vulnerabilidades web automatizados, los escaneos de Burp Suite Enterprise Edition se pueden asignar y reasignar en cualquier sitio web, aplicación o URL.
Conocer..
Correcciones, mitigaciones y consejos de investigación
F5 actualizó los avisos de seguridad para ambas vulnerabilidades el 30 de octubre y confirmó que las dos fallas se están explotando en conjunto.
Su consejo para los administradores sigue siendo:
- Aplique las revisiones lo antes posible.
- Bloquee el acceso a la utilidad de configuración a través de direcciones IP propias o restrinja el acceso a usuarios y dispositivos confiables a través de una red segura
Pero si estas acciones no se han tomado hasta ahora, los defensores empresariales deberían trabajar bajo el supuesto de que sus dispositivos BIG-IP con acceso a Internet han sido comprometidos y deberían verificar los indicadores de compromiso (IoC) proporcionados por F5.
«Esta información se basa en la evidencia que F5 ha visto en dispositivos comprometidos, que parecen ser indicadores confiables», dijo la compañía, pero señaló que los IoC pueden variar y que los atacantes pueden haber podido eliminar evidencia de sus actividades.
La Agencia de Infraestructura y Ciberseguridad (CISA) ha agregado CVE-2023-46747 y CVE-2023-46748 a su catálogo de vulnerabilidades explotadas conocidas.
Fuente: helpnetsecurity
