Se han revelado múltiples vulnerabilidades de seguridad en los dispositivos F5 BIG-IP y BIG-IQ que, si se explotan con éxito, comprometen completamente los sistemas afectados.
La firma de seguridad cibernética Rapid7 dijo que el defectos podría abusarse del acceso remoto a los dispositivos y vencer las restricciones de seguridad. Los problemas afectan las versiones 13.x, 14.x, 15.x, 16.x y 17.x de BIG-IP, y las versiones 7.x y 8.x de BIG-IQ Centralized Management.
Los dos problemas de alta gravedad, que se informaron a F5 el 18 de agosto de 2022, son los siguientes:
- CVE-2022-41622 (Puntuación CVSS: 8,8) – Una falsificación de solicitud entre sitios (CSRF) vulnerabilidad a través de iControl SOAP, lo que lleva a la ejecución remota de código no autenticado.
- CVE-2022-41800 (Puntuación CVSS: 8.7) – Una vulnerabilidad REST de iControl que podría permitir que un usuario autenticado con una función de administrador eluda Modo aparato restricciones
«Al explotar con éxito la peor de las vulnerabilidades (CVE-2022-41622), un atacante podría obtener acceso raíz persistente a la interfaz de administración del dispositivo (incluso si la interfaz de administración no está orientada a Internet)», Ron Bowes, investigador de Rapid7. dijo.
Sin embargo, vale la pena señalar que tal exploit requiere que un administrador con una sesión activa visite un sitio web hostil.
También se identificaron tres instancias diferentes de omisión de seguridad, que F5 dijo que no se puede explotar sin primero romper las barreras de seguridad existentes a través de un mecanismo previamente no documentado.
Si surgiera tal escenario, un adversario con Advanced Shell (intento) el acceso al dispositivo podría aprovechar estas debilidades para ejecutar comandos arbitrarios del sistema, crear o eliminar archivos o deshabilitar servicios.
Si bien F5 no mencionó ninguna de las vulnerabilidades que se explotan en los ataques, se recomienda que los usuarios apliquen los parches necesarios a medida que estén disponibles para mitigar los riesgos potenciales.