Fecha de publicación: Vie, 06/05/2022 - 13:39

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

CVE-2022-1388, con una puntuación de 9.8/10, esta vulnerabilidad permite que un atacante no autenticado con acceso a la red del sistema BIG-IP a través del puerto de administración y/o direcciones de IP propias para ejecutar comandos arbitrarios del sistema, crear o eliminar archivos o desactivar los servicios.

Según F5, el defecto se encuentra en el componente iControl REST y permite que un actor malicioso envíe solicitudes para evitar la autenticación en BIG-IP.

Recursos afectados

  • BIG-IP versions 16.1.0 a 16.1.2
  • BIG-IP versions 15.1.0 a 15.1.5
  • BIG-IP versions 14.1.0 a 14.1.4
  • BIG-IP versions 13.1.0 a 13.1.4
  • BIG-IP versions 12.1.0 a 12.1.6
  • BIG-IP versions 11.1.0 a 11.6.5

Mitigación

F5 ha introducido correcciones en v17.0.0, v16.1.2.2, v15.1.5.1, v14.1.4.6 y v13.1.5. Las ramas de 12.x y 11.x no recibirán un parche. Además, el aviso aclara que la gestión centralizada Big-IQ, F5OS-A, F5OS-C y SDC de tráfico no se ven afectadas por CVE2022-1388.

F5 ha proporcionado las siguientes tres mitigaciones efectivas que pueden usarse temporalmente para aquellos que no pueden aplicar las actualizaciones de seguridad de inmediato:

  • Bloquee el acceso REST de IControl a través de la propia dirección IP
  • Bloquee el acceso REST de iControl a través de la interfaz de administración
  • Modificar la configuración httpd de BIG-IP

Algunos métodos, como bloquear el acceso por completo, pueden afectar los servicios, incluida la interrupción de las configuraciones de alta disponibilidad (HA). Como tal, aplicar las actualizaciones de seguridad sigue siendo el camino recomendado a seguir, si es posible.

Verificar vulnerabilidad

El usuario jheree en su cuenta de github publicó un anlizador para ver si sus equipos son vulnerables a CVE-2022-1388.

Recomendaciones

Se recomienda aplicar las actualizaciones de seguridad debido a que al utilizar las mitigaciones temporales pueden afectar a los servicios; también, esta vulnerabilidad fue calificada con 9.8/10 ya que un actor malintencionado puede llegar a tomar completamente el sistema.

Referencias

Vulnerabilidad en BIG-IP permite que actores malintencionados tomen completamente el sistema