AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

F5 eleva a crítica una vulnerabilidad en BIG-IP APM: explotación activa para ejecución remota de código y despliegue de webshells

admin

### 1. Introducción

En una reciente actualización de sus avisos de seguridad, F5 Networks ha elevado el nivel de gravedad de una vulnerabilidad previamente considerada como Denial-of-Service (DoS) en sus dispositivos BIG-IP con módulo Access Policy Manager (APM), categorizándola ahora como una crítica brecha de ejecución remota de código (RCE). Esta reevaluación se produce tras la detección de campañas activas de explotación en la que actores de amenazas han conseguido desplegar webshells en dispositivos no parcheados. El suceso reviste especial gravedad por el impacto potencial en infraestructuras críticas y servicios empresariales, dada la amplia implantación de BIG-IP en entornos corporativos y de proveedores de servicios.

### 2. Contexto del Incidente o Vulnerabilidad

La vulnerabilidad, identificada como **CVE-2023-46747**, afecta a versiones concretas del componente APM (Access Policy Manager) de la plataforma BIG-IP. Inicialmente, F5 la clasificó como un fallo susceptible de causar una denegación de servicio, pero recientes análisis y evidencias de explotación activa han forzado a la compañía a actualizar su gravedad a crítica (CVSS v3.1: 9.8).

Los dispositivos BIG-IP están presentes en miles de empresas del Fortune 500, administraciones públicas y operadores de servicios críticos, por lo que cualquier brecha en la seguridad de estos equipos puede tener consecuencias devastadoras. La explotación de esta vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios como raíz, comprometiendo de forma total el dispositivo afectado.

### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

**CVE afectada:**
– **CVE-2023-46747**
– Severidad: 9.8 (Crítica, CVSS v3.1)

**Versiones afectadas:**
– BIG-IP APM 13.x, 14.x, 15.x, 16.x y 17.x (según matrices de F5, consultar las versiones exactas en el advisory oficial).

**Vector de ataque:**
– El fallo reside en la gestión inadecuada de las solicitudes HTTP dirigidas al módulo APM, permitiendo la ejecución remota de comandos a través de una cadena de explotación que no requiere autenticación previa.

**TTPs (MITRE ATT&CK):**
– **T1190 (Exploit Public-Facing Application):** Los atacantes aprovechan vulnerabilidades en aplicaciones expuestas a Internet.
– **T1059 (Command and Scripting Interpreter):** Ejecución de comandos arbitrarios tras la explotación exitosa.
– **T1505.003 (Web Shell):** Implantación de webshells para persistencia y control remoto.

**Indicadores de compromiso (IoCs):**
– Archivos webshell inusuales en rutas no estándar del sistema de archivos del BIG-IP.
– Solicitudes HTTP sospechosas dirigidas a rutas APM, especialmente aquellas que contienen patrones de inyección de comandos.
– Procesos desconocidos ejecutándose bajo el usuario raíz.

**Exploits conocidos:**
– Se han detectado scripts de prueba de concepto (PoC) en repositorios públicos y foros de hacking. Consultores de seguridad han confirmado la integración de la vulnerabilidad en frameworks como **Metasploit** para explotación automatizada.

### 4. Impacto y Riesgos

El impacto de la vulnerabilidad es severo:
– **Compromiso total** del dispositivo BIG-IP, permitiendo al atacante modificar configuraciones, interceptar tráfico, o pivotar hacia la red interna.
– **Implantación de webshells** para persistencia, facilitando ataques posteriores, exfiltración de datos o despliegue de ransomware.
– Riesgo de **cumplimiento legal** en entornos regulados por GDPR, NIS2 u otras normativas de protección de infraestructuras críticas.
– Potencial de afectar a servicios de balanceo de carga, autenticación y acceso remoto, incrementando el riesgo de interrupciones de negocio.

Según estimaciones de mercado, más del 40% de las grandes empresas europeas emplean alguna solución BIG-IP, lo que amplifica el alcance del problema.

### 5. Medidas de Mitigación y Recomendaciones

F5 ha publicado parches de seguridad para las versiones afectadas y recomienda encarecidamente su aplicación inmediata.
**Medidas recomendadas:**
– **Actualizar** a las versiones corregidas sin demora.
– Aplicar las **mitigaciones temporales** propuestas por F5, como la limitación del acceso a la interfaz de administración y la implementación de reglas de firewall para restringir solicitudes sospechosas.
– Supervisar logs en busca de IoCs y actividad anómala.
– Revisar la presencia de webshells y otros artefactos maliciosos en los dispositivos.
– Realizar un análisis forense en caso de sospecha de compromiso.

### 6. Opinión de Expertos

Diversos analistas de amenazas han calificado esta vulnerabilidad como una de las más críticas de los últimos meses en dispositivos de red. «La capacidad de ejecutar código como root sin autenticación previa coloca a esta vulnerabilidad al nivel de otras brechas históricas, como Heartbleed o Shellshock, en cuanto a potencial destructivo», señala Pablo González, Lead Pentester en Telefónica Tech.

Especialistas en respuesta a incidentes alertan de la rápida integración del exploit en kits automatizados y la capacidad de los atacantes para pivotar hacia redes internas, lo que incrementa la urgencia de la respuesta.

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones que operan BIG-IP APM deben tratar esta vulnerabilidad como una alerta máxima:
– Riesgo de **interrupción de servicios críticos**.
– Potencial de **pérdida de datos** y exposición de credenciales.
– Obligación de notificación ante reguladores en caso de filtración, conforme a GDPR y NIS2.
– Revisión de políticas de acceso, segmentación de red y planes de contingencia ante incidentes.

La falta de acción puede derivar en sanciones legales, daños reputacionales y cuantiosas pérdidas económicas.

### 8. Conclusiones

La reclasificación de la vulnerabilidad CVE-2023-46747 por parte de F5 subraya la necesidad de una vigilancia constante y una pronta aplicación de parches en dispositivos críticos. Dada la explotación activa y la disponibilidad de exploits públicos, la ventana de oportunidad para los atacantes es significativa. Los responsables de seguridad deben priorizar la mitigación inmediata y reforzar la monitorización de sus infraestructuras para prevenir brechas mayores que puedan comprometer la continuidad del negocio y la integridad de los datos.

(Fuente: www.bleepingcomputer.com)