Vulnerabilidad en Apache que afecta a productos F5

16 Mayo 2022
Alto

F5 ha publicado un nuevo aviso de seguridad que contempla 1 vulnerabilidad,  la cual es clasificada como severidad Alta. Se ven afectados productos como: BIG-IP, BIG-IQ Centralized Management, F5OS-A, F5OS-C y Traffix SDC.

NOTA: No existen actualizaciones de seguridad que solucionen esta falla de seguridad.

 


CVE-2022-22720 [CVSS 3.1: 7.1]
Apache HTTP Server vulnerability

Apache HTTP Server 2.4.52 y versiones anteriores no pueden cerrar la conexión entrante cuando se encuentran errores al descartar el cuerpo de la solicitud, lo que expone al servidor al contrabando de solicitudes HTTP.

Un usuario autenticado, con un nivel de privilegio dentro de la red, puede explotar esta vulnerabilidad y causar una violacion a la triada de información (CID: Confidencialidad, Integridad y Disponibilidad) de los datos.

 

Recomendación

Mientras no salga una versión que mitigue esta vulnerabilidad, se recomienda utilizar las siguientes recomendaciones como mitigaciones temporales. Estas mitigaciones restringen el acceso a la utilidad de configuración solo a redes o dispositivos confiables, lo que limita la superficie de ataque.

  • Bloquear el acceso a la utilidad de configuración a través de direcciones IP propias.
  • Acceso a la utilidad de configuración de bloques a través de la interfaz de administración.

Para más detalles respecto a estas medidas de mitigación temporales dirigirse a soporte de F5.

 

 

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante cuando estas se encuentren disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

 

El listado de las CVE se adjunta a continuación:


Tags: #F5 #Vulnerabilidad #BIG-IP #Traffix SDC #BIG-IQ Centralized Management


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.