■ Contexto:
El 3 de mayo del presente año, la empresa de soluciones de tecnológicas en servicios y aplicaciones para redes, F5, ha lanzado nuevas actualizaciones de seguridad para diferentes productos tecnológicos, que abordan 10 vulnerabilidades de severidad Medio y Alto.
■ Descripción:
🔥 La primera falla de seguridad, ha sido rastreada cómo CVE-2023-28656 y tiene un puntaje CVSS v3 de 8.1/10 (Alto).
Esta vulnerabilidad puede permitir que un atacante autenticado omita la política de autorización y lea o modifique los objetos de configuración. No hay exposición del plano de datos; este es un problema del plano de control solamente. El componente afectado y el componente vulnerable son los mismos, ya que ambos son administrados por la misma autoridad de seguridad.
🔥 La segunda falla de seguridad, ha sido rastreada cómo CVE-2023-29163 y tiene un puntaje CVSS v3 de 7.5/10 (Alto).
El tráfico se interrumpe mientras se reinicia el proceso de TMM. Esta vulnerabilidad permite que un atacante remoto no autenticado provoque una denegación de servicio (DoS) en el sistema BIG-IP. No hay exposición del plano de control; este es solo un problema del plano de datos.
🔥 La tercera falla de seguridad, ha sido rastreada cómo CVE-2023-27378 y tiene un puntaje CVSS v3 de 7.5/10 (Alto).
Un atacante puede explotar esta vulnerabilidad haciendo que un usuario autenticado envíe una URL manipulada que luego se refleja y ejecuta el navegador web del usuario. Si tiene éxito, un atacante puede ejecutar JavaScript en el contexto del usuario conectado actualmente. En el caso de un usuario administrativo con acceso a Advanced Shell (bash), un atacante puede aprovechar la explotación exitosa de esta vulnerabilidad para comprometer el sistema BIG-IP. Este es un problema del plano de control; no hay exposición del plano de datos.
🔥 La cuarta falla de seguridad, ha sido rastreada cómo CVE-2023-24461 y tiene un puntaje CVSS v3 de 7.4/10 (Alto).
Un atacante no autenticado con una posición de hombre en el medio (MITM) puede aprovechar esta vulnerabilidad y engañar a BIG-IP Edge Client para establecer conexiones con un sistema BIG-IP APM ilegítimo.
🔥 La quinta falla de seguridad, ha sido rastreada cómo CVE-2023-28742 y tiene un puntaje CVSS v3 de 7.2/10 (Alto).
Esta vulnerabilidad puede permitir que un atacante autenticado con acceso de red a DNS iQuery mesh a través del puerto de administración BIG-IP y/o direcciones IP propias ejecute comandos arbitrarios del sistema, cree o elimine archivos o deshabilite servicios. No hay exposición del plano de datos; este es un problema del plano de control solamente.
Nota: El componente afectado, big3d, puede estar presente en un sistema BIG-IP que está siendo monitoreado por un clúster de DNS BIG-IP.
🔥 La sexta falla de seguridad, ha sido rastreada cómo CVE-2023-28724 y tiene un puntaje CVSS v3 de 7.1/10 (Alto).
Los permisos incorrectos en ciertos archivos pueden causar una escalada de privilegios locales que podría provocar la fuga de información o la modificación de archivos confidenciales.
🔥 La séptima falla de seguridad, ha sido rastreada cómo CVE-2023-22372 y tiene un puntaje CVSS v3 de 5.9/10 (Medio).
Un atacante no autenticado con una posición intermedia entre BIG-IP Edge Client y BIG-IP APM puede aprovechar esta vulnerabilidad para modificar solicitudes y respuestas hacia y desde BIG-IP Edge Client.
🔥 La octava falla de seguridad, ha sido rastreada cómo CVE-2023-29240 y tiene un puntaje CVSS v3 de 5.4/10 (Medio).
Esta vulnerabilidad puede permitir que un atacante autenticado con acceso de red a iControl REST cree archivos arbitrarios en el sistema de archivos, limitado a un único directorio fijo. El atacante puede agotar el espacio en el punto de montaje que contiene ese directorio y afectar la capacidad del administrador para crear nuevos objetos de configuración. No hay exposición del plano de datos; este es un problema del plano de control solamente.
🔥 La novena falla de seguridad, ha sido rastreada cómo CVE-2023-24594 y tiene un puntaje CVSS v3 de 5.3/10 (Medio).
El rendimiento del sistema puede degradarse hasta que se cierran las conexiones del atacante. Esta vulnerabilidad permite que un atacante remoto no autenticado provoque una degradación del servicio que puede provocar una denegación de servicio (DoS) en el sistema BIG-IP. No hay exposición del plano de control; este es solo un problema del plano de datos.
🔥 La decima falla de seguridad, ha sido rastreada cómo CVE-2023-28406 y tiene un puntaje CVSS v3 de 4.3/10 (Medio).
Un atacante autenticado puede leer archivos con una extensión .xml. No hay exposición del plano de datos; este es un problema del plano de control solamente.
■ Resumen de Vulnerabilidades por Colores:
🟢 = Bajo | 🟡 = Medio | 🔴 = Alto | 🟣 = Crítico
- 🔴 CVE-2023-28656 – CVSS v3 – 8.1/10.0
- 🔴 CVE-2023-29163 – CVSS v3 – 7.5/10.0
- 🔴 CVE-2023-27378 – CVSS v3 – 7.5/10.0
- 🔴 CVE-2023-24461 – CVSS v3 – 7.4/10.0
- 🔴 CVE-2023-28742 – CVSS v3 – 7.2/10.0
- 🔴 CVE-2023-28724 – CVSS v3 – 7.1/10.0
- 🟡 CVE-2023-22372 – CVSS v3 – 5.9/10.0
- 🟡 CVE-2023-29240 – CVSS v3 – 5.4/10.0
- 🟡 CVE-2023-24594 – CVSS v3 – 5.3/10.0
- 🟡 CVE-2023-28406 – CVSS v3 – 4.3/10.0
■ Versiones Vulnerables y Parches disponibles:
🔴 CVE-2023-28656 – CVSS v3 – 8.1/10.0
Producto | Rama | Versiones conocidas por ser vulnerables 1 | Correcciones introducidas en | Gravedad | CVSSv3 puntuación 2 | Componente o característica vulnerable |
Administrador de instancias NGINX | 2.x | 2.0.0 – 2.8.0 | 2.9.0 | Alto | 8.1 | Plataforma NGINX Management Suite |
1.x | Ninguno | No aplica | ||||
Administrador de conectividad API NGINX | 1.x | 1.0.0 – 1.4.1 | 1.5.0 | Alto | 8.1 | Plataforma NGINX Management Suite |
Monitoreo de seguridad NGINX | 1.x | 1.0.0 – 1.2.0 | 1.3.0 | Alto | 8.1 | Plataforma NGINX Management Suite |
🔴 CVE-2023-29163 – CVSS v3 – 7.5/10.0
Producto | Rama | Versiones conocidas por ser vulnerables 1 | Correcciones introducidas en | Gravedad | CVSSv3 puntuación 2 | Componente o característica vulnerable |
BIG-IP (todos los módulos) | 17.x | 17.0.0 | 17.1.0 | Alto | 7.5 | Perfil UDP con Tiempo de espera inactivo establecido en Inmediato o valor 0 |
16.x | 16.1.2.2 – 16.1.3.3 | 16.1.3.4 | ||||
15.x | 15.1.5.1 – 15.1.8.1 | 15.1.8.2 | ||||
14.x | 14.1.4.6 – 14.1.5.3 | 14.1.5.4 | ||||
13.x | Ninguno | No aplica |
🔴 CVE-2023-27378 – CVSS v3 – 7.5/10.0
Producto | Rama | Versiones conocidas por ser vulnerables 1 | Correcciones introducidas en | Gravedad | CVSSv3 puntuación 2 | Componente o característica vulnerable |
BIG-IP (todos los módulos) | 17.x | 17.0.0 – 17.1.0 | 17.1.0.1 | Alto | 7.5 | Utilidad de configuración/TMUI |
16.x | 16.1.0 – 16.1.3 | 16.1.3.4 | ||||
15.x | 15.1.0 – 15.1.8 | 15.1.8.2 | ||||
14.x | 14.1.0 – 14.1.5 | 14.1.5.4 | ||||
13.x | 13.1.0 – 13.1.5 | No se reparara |
🔴 CVE-2023-24461 – CVSS v3 – 7.4/10.0
Producto | Rama | Versiones conocidas por ser vulnerables 1 | Correcciones introducidas en | Gravedad | CVSSv3 puntuación 2 | Componente o característica vulnerable |
BIG-IP APM | 17.x | 17.0.0 – 17.1.0 3 | Ninguno | Alto | 7.4 | Cliente BIG-IP Edge para Windows y macOS |
16.x | 16.1.0 – 16.1.3 3 | Ninguno | ||||
15.x | 15.1.0 – 15.1.8 3 | Ninguno | ||||
14.x | 14.1.0 – 14.1.5 3 | Ninguno | ||||
13.x | 13.1.0 – 13.1.5 3 | No se reparara | ||||
Clientes BIG-IP APM | 7.x | 7.2.1 – 7.2.4 | 7.2.4.1 4 | Alto | 7.4 | Cliente BIG-IP Edge para Windows y macOS |
🔴 CVE-2023-28742 – CVSS v3 – 7.2/10.0
Producto | Rama | Versiones conocidas por ser vulnerables 1 | Correcciones introducidas en | Gravedad | CVSSv3 puntuación 2 | Componente o característica vulnerable |
IP GRANDE (DNS) | 17.x | 17.0.0 – 17.1.0 | 17.1.0.1 | Alto | 7.2 | grande3d |
16.x | 16.1.0 – 16.1.3 | 16.1.3.4 | ||||
15.x | 15.1.0 – 15.1.8 | 15.1.8.2 | ||||
14.x | 14.1.0 – 14.1.5 | 14.1.5.4 | ||||
13.x | 13.1.0 – 13.1.5 | No se reparara | ||||
BIG-IP (todos los demás módulos) | 17.x | Ninguno | No aplica | No vulnerable 3 | Ninguno | Ninguno |
16.x | Ninguno | No aplica | ||||
15.x | Ninguno | No aplica | ||||
14.x | Ninguno | No aplica | ||||
13.x | Ninguno | No aplica |
🔴 CVE-2023-28724 – CVSS v3 – 7.1/10.0
Producto | Rama | Versiones conocidas por ser vulnerables 1 | Correcciones introducidas en | Gravedad | CVSSv3 puntuación 2 | Componente o característica vulnerable |
Administrador de instancias NGINX | 2.x | 2.0.0 – 2.8.0 | 2.9.0 | Alto | 7.1 | Plataforma NGINX Management Suite |
1.x | 1.0.0 – 1.0.4 | Ninguno | ||||
Administrador de conectividad API NGINX | 1.x | 1.0.0 – 1.4.1 | 1.5.0 | Alto | 7.1 | Plataforma NGINX Management Suite |
Monitoreo de seguridad NGINX | 1.x | 1.0.0 – 1.2.0 | 1.3.0 | Alto | 7.1 | Plataforma NGINX Management Suite |
NGINX (todos los demás productos) | Todo | Ninguno | No aplica | No vulnerable | Ninguno | Ninguno |
🟡 CVE-2023-22372 – CVSS v3 – 5.9/10.0
Producto | Rama | Versiones conocidas por ser vulnerables 1 | Correcciones introducidas en | Gravedad | CVSSv3 puntuación 2 | Componente o característica vulnerable |
GRAN IP (APM) | 17.x | 17.0.0 – 17.1.0 3 | Ninguno | Medio | 5.9 | Cliente BIG-IP Edge para Windows y Mac OS |
16.x | 16.1.0 – 16.1.3 3 | Ninguno | ||||
15.x | 15.1.0 – 15.1.8 3 | Ninguno | ||||
14.x | 14.1.0 – 14.1.5 3 | Ninguno | ||||
13.x | 13.1.0 – 13.1.5 3 | No se reparara | ||||
Clientes BIG-IP APM | 7.x | 7.2.2 – 7.2.4 | 7.2.4.1 | Medio | 5.9 | Cliente BIG-IP Edge para Windows y Mac OS |
🟡 CVE-2023-29240 – CVSS v3 – 5.4/10.0
Producto | Rama | Versiones conocidas por ser vulnerables 1 | Correcciones introducidas en | Gravedad | CVSSv3 puntuación 2 | Componente o característica vulnerable |
BIG-IP (todos los módulos) | Todo | Ninguno | No aplica | No vulnerable | Ninguno | Ninguno |
BIG-IP SPK | Todo | Ninguno | No aplica | No vulnerable | Ninguno | Ninguno |
Gestión centralizada BIG-IQ | 8.x | 8.0.0 – 8.2.0 | 8.3.0 | Medio | 5.4 | Marco BIG-IQ REST |
🟡 CVE-2023-24594 – CVSS v3 – 5.3/10.0
Producto | Rama | Versiones conocidas por ser vulnerables 1 | Correcciones introducidas en | Gravedad | CVSSv3 puntuación 2 | Componente o característica vulnerable |
BIG-IP (todos los módulos) | 17.x | Ninguno | 17.0.0 | Medio | 5.3 | Perfil SSL |
16.x | 16.1.2 | 16.1.2.1 | ||||
15.x | 15.1.4.1 | 15.1.5 | ||||
14.x | 14.1.5 | Ninguno | ||||
13.x | Ninguno | No aplica | ||||
BIG-IP Siguiente SPK | 1.x | 1.5.0 | 1.6.0 | Medio | 5.3 | Perfil SSL |
🟡 CVE-2023-28406 – CVSS v3 – 4.3/10.0
Producto | Rama | Versiones conocidas por ser vulnerables 1 | Correcciones introducidas en | Gravedad | CVSSv3 puntuación 2 | Componente o característica vulnerable |
BIG-IP (todos los módulos) | 17.x | 17.0.0 | 17.1.0 | Medio | 4.3 | Utilidad de configuración |
16.x | 16.1.0 – 16.1.3 | 16.1.3.4 | ||||
15.x | 15.1.0 – 15.1.8 | 15.1.8.2 | ||||
14.x | 14.1.0 – 14.1.5 | 14.1.5.4 | ||||
13.x | 13.1.0 – 13.1.5 | No se reparara |
■ Comunicados de F5:
- https://my.f5.com/manage/s/article/K000133417
- https://my.f5.com/manage/s/article/K20145107
- https://my.f5.com/manage/s/article/K000132726
- https://my.f5.com/manage/s/article/K000132539
- https://my.f5.com/manage/s/article/K000132972
- https://my.f5.com/manage/s/article/K000133233
- https://my.f5.com/manage/s/article/K000132522
- https://my.f5.com/manage/s/article/K000132719
- https://my.f5.com/manage/s/article/K000133132
- https://my.f5.com/manage/s/article/K000132768
■ Comunicado general:

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.