Días después de que F5 lanzara parches para una vulnerabilidad crítica de ejecución remota de código que afectaba a su familia de productos BIG-IP, los investigadores de seguridad advierten que pudieron crear un exploit para la deficiencia.
Con seguimiento CVE-2022-1388 (puntuación CVSS: 9,8), la falla se relaciona con una omisión de autenticación REST de iControl que, si se explota con éxito, podría conducir a la ejecución remota de código, lo que permitiría a un atacante obtener acceso inicial y tomar el control de un sistema afectado.
Esto podría ir desde la implementación de mineros de criptomonedas hasta la implementación de shells web para ataques posteriores, como el robo de información y el ransomware.
«Hemos reproducido el nuevo CVE-2022-1388 en BIG-IP de F5», empresa de ciberseguridad Positive Technologies dicho en un tuit el viernes. «¡Parche lo antes posible!»
La vulnerabilidad de seguridad crítica afecta a las siguientes versiones de los productos BIG-IP:
- 16.1.0 – 16.1.2
- 15.1.0 – 15.1.5
- 14.1.0 – 14.1.4
- 13.1.0 – 13.1.4
- 12.1.0 – 12.1.6
- 11.6.1 – 11.6.5
Las correcciones están disponibles en las versiones 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6 y 13.1.5. Las versiones de firmware 11.x y 12.x no recibirán actualizaciones de seguridad y los usuarios que confían en esas versiones deben considerar actualizar a una versión más nueva o aplicar las soluciones alternativas:
- Bloquee el acceso REST de iControl a través de la propia dirección IP
- Bloquee el acceso REST de iControl a través de la interfaz de administración, y
- Modificar la configuración httpd de BIG-IP
El mes pasado, las autoridades de seguridad cibernética de Australia, Canadá, Nueva Zelanda, el Reino Unido y los EE. UU. advirtieron conjuntamente que «los actores de amenazas atacaron agresivamente las vulnerabilidades de software críticas recientemente reveladas contra amplios conjuntos de objetivos, incluidas las organizaciones del sector público y privado en todo el mundo».
Dado que la falla F5 BIG-IP resultó trivial de explotar, se espera que los equipos de hackers maliciosos hagan lo mismo, por lo que es imperativo que las organizaciones afectadas actúen rápidamente para aplicar los parches.