Seguridad en la nube y red de entrega de aplicaciones (ADN), el proveedor F5 lanzó parches el miércoles para contener 43 errores que abarcan sus productos.
De El 43 temas abordadosuno tiene una calificación Crítica, 17 tienen una calificación Alta, 24 tienen una calificación Media y uno tiene una calificación de gravedad baja.
El principal de los defectos es CVE-2022-1388que tiene una puntuación CVSS de 9,8 sobre un máximo de 10 y se deriva de la falta de verificación de autenticación, lo que podría permitir que un atacante tome el control de un sistema afectado.
“Esta vulnerabilidad puede permitir que un atacante no autenticado con acceso de red al sistema BIG-IP a través del puerto de administración y/o direcciones IP propias ejecute comandos arbitrarios del sistema, cree o elimine archivos o deshabilite servicios”, dijo F5 en un aviso. “No hay exposición del plano de datos; este es solo un problema del plano de control”.
La vulnerabilidad de seguridad, que según la compañía fue descubierta internamente, afecta a los productos BIG-IP con las siguientes versiones:
- 16.1.0 – 16.1.2
- 15.1.0 – 15.1.5
- 14.1.0 – 14.1.4
- 13.1.0 – 13.1.4
- 12.1.0 – 12.1.6
- 11.6.1 – 11.6.5
Se han introducido parches para la falla de omisión de autenticación REST de iControl en las versiones 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6 y 13.1.5. Otros productos de F5, como BIG-IQ Centralized Management, F5OS-A, F5OS-C y Traffix SDC, no son vulnerables a CVE-2022-1388.
F5 también ha ofrecido soluciones temporales hasta que se puedan aplicar las correcciones:
- Bloquee el acceso REST de iControl a través de la propia dirección IP
- Bloquee el acceso REST de iControl a través de la interfaz de administración
- Modificar la configuración httpd de BIG-IP
Otros errores notables resueltos como parte de la actualización incluyen aquellos que podrían permitir que un atacante autenticado eluda las restricciones del modo Dispositivo y ejecute código JavaScript arbitrario en el contexto del usuario conectado actualmente.
Con los dispositivos F5 ampliamente implementados en las redes empresariales, es imperativo que las organizaciones se muevan rápidamente para aplicar los parches para evitar que los actores de amenazas exploten el vector de ataque para el acceso inicial.
Las correcciones de seguridad se producen cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó cinco nuevas fallas a su Catálogo de vulnerabilidades explotadas conocidas basado en evidencia de explotación activa –
About the Author
