Seguridad en la nube y red de entrega de aplicaciones (ADN<\/a>), el proveedor F5 lanz\u00f3 parches el mi\u00e9rcoles para contener 43 errores que abarcan sus productos.<\/p>\n De El 43 temas abordados<\/a>uno tiene una calificaci\u00f3n Cr\u00edtica, 17 tienen una calificaci\u00f3n Alta, 24 tienen una calificaci\u00f3n Media y uno tiene una calificaci\u00f3n de gravedad baja.<\/p>\n El principal de los defectos es CVE-2022-1388<\/a>que tiene una puntuaci\u00f3n CVSS de 9,8 sobre un m\u00e1ximo de 10 y se deriva de la falta de verificaci\u00f3n de autenticaci\u00f3n, lo que podr\u00eda permitir que un atacante tome el control de un sistema afectado.<\/p>\n “Esta vulnerabilidad puede permitir que un atacante no autenticado con acceso de red al sistema BIG-IP a trav\u00e9s del puerto de administraci\u00f3n y\/o direcciones IP propias ejecute comandos arbitrarios del sistema, cree o elimine archivos o deshabilite servicios”, dijo F5 en un aviso. “No hay exposici\u00f3n del plano de datos; este es solo un problema del plano de control”.<\/p>\n La vulnerabilidad de seguridad, que seg\u00fan la compa\u00f1\u00eda fue descubierta internamente, afecta a los productos BIG-IP con las siguientes versiones:<\/p>\n Se han introducido parches para la falla de omisi\u00f3n de autenticaci\u00f3n REST de iControl en las versiones 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6 y 13.1.5. Otros productos de F5, como BIG-IQ Centralized Management, F5OS-A, F5OS-C y Traffix SDC, no son vulnerables a CVE-2022-1388.<\/p>\n F5 tambi\u00e9n ha ofrecido soluciones temporales hasta que se puedan aplicar las correcciones:<\/p>\n Otros errores notables resueltos como parte de la actualizaci\u00f3n incluyen aquellos que podr\u00edan permitir que un atacante autenticado eluda las restricciones del modo Dispositivo y ejecute c\u00f3digo JavaScript arbitrario en el contexto del usuario conectado actualmente.<\/p>\n Con los dispositivos F5 ampliamente implementados en las redes empresariales, es imperativo que las organizaciones se muevan r\u00e1pidamente para aplicar los parches para evitar que los actores de amenazas exploten el vector de ataque para el acceso inicial.<\/p>\n Las correcciones de seguridad se producen cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agreg\u00f3 cinco nuevas fallas a su Cat\u00e1logo de vulnerabilidades explotadas conocidas<\/a> basado en evidencia de explotaci\u00f3n activa –<\/p>\n <\/p>\n<\/div>\n\n
\n