F5 BIG-IP RCE CVE-2023-46747: Qué saber ya

Vulnerabilidad CVE-2023-46747 en F5 BIG-IP permite ejecución remota de código mediante request smuggling entre Apache HTTPD y AJP. Mitigación, parche K000137353 y servicios de seguridad de Q2BSTUDIO.

18 ago 2025 • 4 min de lectura • Equipo Q2BSTUDIO

Inteligencia-Artificial-

Resumen F5 BIG-IP tiene una vulnerabilidad crítica de ejecución remota de código identificada como CVE-2023-46747 que puede explotarse mediante request smuggling en el manejo de peticiones HTTP y AJP. Dado que BIG-IP actúa como controlador de entrega de aplicaciones para balanceo de carga, seguridad y optimización de rendimiento, la exposición no parcheada representa un riesgo alto para infraestructuras empresariales.

Detalles de la vulnerabilidad El problema nace de un tratamiento inconsistente de las cabeceras entre Apache HTTPD y el protocolo AJP. La versión personalizada de Apache HTTPD usada por F5 deriva de la rama 2.4.6, que presenta un comportamiento vulnerable en escenarios específicos. Apache HTTPD puede eliminar la cabecera Content-Length antes de reenviar la petición al servidor AJP, y un atacante puede crear una petición que incluya simultáneamente Content-Length y Transfer-Encoding con el fin de manipular cómo el backend interpreta el cuerpo de la petición. Esta técnica de request smuggling permite eludir comprobaciones de autenticación y provocar comportamientos inesperados en servicios internos.

Escenario de explotación Envío de peticiones manipuladas al módulo TMUI, por ejemplo a la ruta /tmui/login.jsp, puede provocar que el backend procese la petición como si estuviera autenticada. Un atacante podría así eludir el inicio de sesión, ejecutar funciones arbitrarias en el backend y encadenar esta vulnerabilidad con otras para obtener control total del equipo afectado.

Versiones afectadas Versiones anteriores o iguales a 17.1.0 y rangos 16.1.0 hasta 16.1.4, 15.1.0 hasta 15.1.10, 14.1.0 hasta 14.1.5 y 13.1.0 hasta 13.1.5 se encuentran afectadas. Si utiliza cualquiera de estas versiones debe considerar la actualización prioritaria.

Mitigación temporal Bloquee completamente el acceso público al portal TMUI. Esta interfaz debe reservarse para uso interno de administración y accederse solo desde redes internas o por VPN. TMUI ha sufrido varias vulnerabilidades RCE sin autenticación en los últimos años, por lo tanto mantenerla fuera de internet es fundamental para reducir riesgo.

Corrección permanente Aplique el hotfix oficial de F5 lo antes posible consultando el boletín de seguridad K000137353. Siga las instrucciones del fabricante para parchear y comprobar integridad del sistema tras la actualización. Si no puede parchear inmediatamente, combine las mitigaciones de red con controles de detección y respuesta para reducir la ventana de exposición.

Reproducción y análisis La explotación se basa en manipular cabeceras Content-Length y Transfer-Encoding para provocar discrepancias entre el proxy frontal y el backend AJP. Los equipos de seguridad pueden replicar el problema en entornos controlados para validar detección y mitigaciones, pero la prueba en producción debe evitarse sin autorización y sin medidas de contención.

Cronología 26 de octubre divulgación pública de la información, 27 de octubre análisis y reproducción por equipos de seguridad, 28 de octubre publicación del aviso oficial de F5. Mantenga monitoreo sobre avisos adicionales y actualizaciones del fabricante.

Puntos clave Request smuggling no es un fallo menor; puede facilitar compromiso total del sistema si se combina con otras vulnerabilidades. Los dispositivos BIG-IP son objetivos de alto valor por su posición en la frontera de la red corporativa. Patch ahora para evitar que su infraestructura sea comprometida.

Sobre Q2BSTUDIO Q2BSTUDIO es una empresa de desarrollo de software y aplicaciones a medida especializada en soluciones empresariales, inteligencia artificial y ciberseguridad. Ofrecemos software a medida, aplicaciones a medida, servicios cloud AWS y Azure, servicios de inteligencia de negocio e implementaciones de Power BI. Desarrollamos proyectos de ia para empresas incluyendo agentes IA personalizados y soluciones de automatización con modelos de inteligencia artificial que mejoran procesos y seguridad. Nuestra experiencia en ciberseguridad nos permite combinar protección proactiva con desarrollo de plataformas seguras para clientes en sectores críticos.

Cómo podemos ayudar Si su organización utiliza BIG-IP o gestiona paneles administrativos expuestos podemos ayudar con auditorías de seguridad, despliegue de mitigaciones temporales, pruebas controladas de request smuggling y aplicación de parches. También ofrecemos servicios integrales que incluyen desarrollo de software a medida, integración de inteligencia artificial, agentes IA, servicios cloud AWS y Azure, y creación de cuadros de mando con Power BI para inteligencia de negocio.

Recomendaciones finales Desactive el acceso público al TMUI, parchee con prioridad siguiendo el aviso K000137353 de F5, monitorice actividad inusual en los dispositivos de borde y realice revisiones periódicas de configuraciones y reglas WAF. Contacte a Q2BSTUDIO para asistencia en mitigación, auditoría o implementación de soluciones de seguridad y plataformas a medida que reduzcan su exposición y mejoren la resiliencia de sus sistemas.

Contacto Para soporte o proyectos de desarrollo y ciberseguridad contacte con Q2BSTUDIO y solicite evaluación de riesgos, propuestas de software a medida y soluciones de inteligencia artificial para su empresa.

¿UNA PAUSA?

Juega un momento antes de irte

NUESTROS SERVICIOS

Cómo podemos ayudarte

Inteligencia artificial

Agentes de IA, chatbots y asistentes inteligentes que automatizan tareas y atienden a tus clientes 24/7 para mejorar la eficiencia de tu negocio.

Más info

Desarrollo de software

Aplicaciones web, móviles y de escritorio, intranets, e-commerce, SaaS y plataformas de gestión diseñadas para las necesidades concretas de tu empresa.

Más info

Servicios cloud

Migración, infraestructura, hosting gestionado, alta disponibilidad y seguridad en Microsoft Azure y Amazon Web Services para que tu negocio escale sin límites.

Más info

Ciberseguridad y pentesting

Auditorías de seguridad, test de intrusión (pentesting) y protección de aplicaciones, datos e infraestructura on-premise y cloud, con hacking ético y cumplimiento normativo.

Más info

Business Intelligence

Cuadros de mando y análisis de datos con Power BI: integramos tus fuentes, diseñamos dashboards y KPIs y convertimos tus datos en decisiones.

Más info

Automatización de procesos

Automatizamos tareas repetitivas y conectamos tus aplicaciones con n8n, Power Automate, Make y RPA, eliminando trabajo manual y aumentando la productividad.

Más info

Formación para empresas

Formamos a tus equipos en tecnología con criterio: desarrollo web, bases de datos, Git, buenas prácticas y seguridad, automatización con n8n, inteligencia artificial para empresas y creación de soluciones de IA con Azure AI Foundry.

Más info

Auditoría de código

Auditamos el código que creas tú, tu equipo o una IA: te decimos qué está bien y qué mejorar, lo securizamos y lo dejamos listo para producción, web o app.

Más info

Generación de imágenes con IA

Creamos por ti las imágenes que necesita tu negocio con inteligencia artificial: producto, redes, publicidad, ilustración y avatares. Tú nos dices qué quieres y te lo entregamos listo para usar.

Más info

Generación de vídeos con IA

Creamos por ti vídeos con inteligencia artificial: promocionales, para redes, presentadores virtuales, doblaje y animaciones. Nos cuentas la idea y te lo entregamos montado y listo para publicar.

Más info

Avatares conversacionales con IA

Creamos avatares conversacionales con IA —humanos digitales con cara y voz— que atienden a tus clientes y equipos con el conocimiento de tu empresa, en tu web, monitores interactivos, WhatsApp o Teams.

Más info

Marketing Online e IA

Google Ads, Meta Ads, LinkedIn Ads y posicionamiento en motores de IA (GEO/AEO): captamos clientes y hacemos que tu marca aparezca donde te buscan, también en ChatGPT, Gemini y Perplexity.

Más info

¿Tienes un proyecto en mente?

Cuéntanos tu visión y la convertimos en una solución de software. Sea cual sea el alcance, hacemos realidad tu idea.