CSIRT Panamá Aviso 2022-05-06 F5: Vulnerabilidad crítica de BIG-IP RCE

Gravedad: Alta
Fecha de publicación: Mayo 06, 2022
Última revisión: Mayo 06, 2022
Sitio web: https://support.f5.com/

F5 ha emitido una advertencia de seguridad sobre una falla que puede permitir que atacantes no autenticados con acceso a la red ejecuten comandos arbitrarios del sistema, realicen acciones de archivos y deshabiliten servicios en BIG-IP.

La vulnerabilidad se rastrea como CVE-2022-1388 y tiene una clasificación de gravedad CVSS v3 de 9.8, categorizada como crítica. Su explotación puede conducir potencialmente a una adquisición completa del sistema.

Según el aviso de seguridad de F5, la falla se encuentra en el componente REST de iControl y permite que un actor malicioso envíe solicitudes no reveladas para eludir la autenticación REST de iControl en BIG-IP.

La lista completa de los productos afectados se muestra a continuación:

  • BIG-IP versiones 16.1.0 a 16.1.2
  • BIG-IP versiones 15.1.0 a 15.1.5
  • BIG-IP versiones 14.1.0 a 14.1.4
  • BIG-IP versiones 13.1.0 a 13.1.4
  • BIG-IP versiones 12.1.0 a 12.1.6
  • BIG-IP versiones 11.6.1 a 11.6.5

F5 ha introducido correcciones en v17.0.0, v16.1.2.2, v15.1.5.1, v14.1.4.6 y v13.1.5. Las ramas de 12.x y 11.x no recibirán un parche de reparación.

Además, el aviso aclara que BIG-IQ Centralized Management, F5OS-A, F5OS-C y Traffic SDC no se ven afectados por CVE-2022-1388 .

F5 proporcionó todos los detalles sobre cómo hacer lo anterior  en el aviso , pero algunos métodos, como bloquear el acceso por completo, pueden afectar los servicios, incluida la interrupción de las configuraciones de alta disponibilidad (HA). Como tal, aplicar las actualizaciones de seguridad sigue siendo el camino recomendado a seguir, si es posible.

III. Referencia a soluciones, herramientas e información

Fuentes:

  1. https://support.f5.com/csp/article/K23605346
  2. https://www.bleepingcomputer.com/news/security/f5-warns-of-critical-big-ip-rce-bug-allowing-device-takeover/

Información de contacto

CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124