Resumen F5 BIG-IP tiene una vulnerabilidad crítica de ejecución remota de código identificada como CVE-2023-46747 que puede explotarse mediante request smuggling en el manejo de peticiones HTTP y AJP. Dado que BIG-IP actúa como controlador de entrega de aplicaciones para balanceo de carga, seguridad y optimización de rendimiento, la exposición no parcheada representa un riesgo alto para infraestructuras empresariales.
Detalles de la vulnerabilidad El problema nace de un tratamiento inconsistente de las cabeceras entre Apache HTTPD y el protocolo AJP. La versión personalizada de Apache HTTPD usada por F5 deriva de la rama 2.4.6, que presenta un comportamiento vulnerable en escenarios específicos. Apache HTTPD puede eliminar la cabecera Content-Length antes de reenviar la petición al servidor AJP, y un atacante puede crear una petición que incluya simultáneamente Content-Length y Transfer-Encoding con el fin de manipular cómo el backend interpreta el cuerpo de la petición. Esta técnica de request smuggling permite eludir comprobaciones de autenticación y provocar comportamientos inesperados en servicios internos.
Escenario de explotación Envío de peticiones manipuladas al módulo TMUI, por ejemplo a la ruta /tmui/login.jsp, puede provocar que el backend procese la petición como si estuviera autenticada. Un atacante podría así eludir el inicio de sesión, ejecutar funciones arbitrarias en el backend y encadenar esta vulnerabilidad con otras para obtener control total del equipo afectado.
Versiones afectadas Versiones anteriores o iguales a 17.1.0 y rangos 16.1.0 hasta 16.1.4, 15.1.0 hasta 15.1.10, 14.1.0 hasta 14.1.5 y 13.1.0 hasta 13.1.5 se encuentran afectadas. Si utiliza cualquiera de estas versiones debe considerar la actualización prioritaria.
Mitigación temporal Bloquee completamente el acceso público al portal TMUI. Esta interfaz debe reservarse para uso interno de administración y accederse solo desde redes internas o por VPN. TMUI ha sufrido varias vulnerabilidades RCE sin autenticación en los últimos años, por lo tanto mantenerla fuera de internet es fundamental para reducir riesgo.
Corrección permanente Aplique el hotfix oficial de F5 lo antes posible consultando el boletín de seguridad K000137353. Siga las instrucciones del fabricante para parchear y comprobar integridad del sistema tras la actualización. Si no puede parchear inmediatamente, combine las mitigaciones de red con controles de detección y respuesta para reducir la ventana de exposición.
Reproducción y análisis La explotación se basa en manipular cabeceras Content-Length y Transfer-Encoding para provocar discrepancias entre el proxy frontal y el backend AJP. Los equipos de seguridad pueden replicar el problema en entornos controlados para validar detección y mitigaciones, pero la prueba en producción debe evitarse sin autorización y sin medidas de contención.
Cronología 26 de octubre divulgación pública de la información, 27 de octubre análisis y reproducción por equipos de seguridad, 28 de octubre publicación del aviso oficial de F5. Mantenga monitoreo sobre avisos adicionales y actualizaciones del fabricante.
Puntos clave Request smuggling no es un fallo menor; puede facilitar compromiso total del sistema si se combina con otras vulnerabilidades. Los dispositivos BIG-IP son objetivos de alto valor por su posición en la frontera de la red corporativa. Patch ahora para evitar que su infraestructura sea comprometida.
Sobre Q2BSTUDIO Q2BSTUDIO es una empresa de desarrollo de software y aplicaciones a medida especializada en soluciones empresariales, inteligencia artificial y ciberseguridad. Ofrecemos software a medida, aplicaciones a medida, servicios cloud AWS y Azure, servicios de inteligencia de negocio e implementaciones de Power BI. Desarrollamos proyectos de ia para empresas incluyendo agentes IA personalizados y soluciones de automatización con modelos de inteligencia artificial que mejoran procesos y seguridad. Nuestra experiencia en ciberseguridad nos permite combinar protección proactiva con desarrollo de plataformas seguras para clientes en sectores críticos.
Cómo podemos ayudar Si su organización utiliza BIG-IP o gestiona paneles administrativos expuestos podemos ayudar con auditorías de seguridad, despliegue de mitigaciones temporales, pruebas controladas de request smuggling y aplicación de parches. También ofrecemos servicios integrales que incluyen desarrollo de software a medida, integración de inteligencia artificial, agentes IA, servicios cloud AWS y Azure, y creación de cuadros de mando con Power BI para inteligencia de negocio.
Recomendaciones finales Desactive el acceso público al TMUI, parchee con prioridad siguiendo el aviso K000137353 de F5, monitorice actividad inusual en los dispositivos de borde y realice revisiones periódicas de configuraciones y reglas WAF. Contacte a Q2BSTUDIO para asistencia en mitigación, auditoría o implementación de soluciones de seguridad y plataformas a medida que reduzcan su exposición y mejoren la resiliencia de sus sistemas.
Contacto Para soporte o proyectos de desarrollo y ciberseguridad contacte con Q2BSTUDIO y solicite evaluación de riesgos, propuestas de software a medida y soluciones de inteligencia artificial para su empresa.