F5 publica nuevas vulnerabilidades que afectan a BIG-IP y BIG-IQ

17 Noviembre 2022
Alto

 

F5 Networks recientemente ha publicado diversos avisos de seguridad que hacen referencia principalmente a dos vulnerabilidades de severidad Alta descubiertas por Ron Bowes, investigador de Rapid7, las cuales son identificadas como CVE-2022-41622 y CVE-2022-41800.

Además de esas dos fallas, Rapid7 identificó varias omisiones de controles de seguridad que F5 no considera vulnerabilidades con una superficie de ataque razonable.

Rapid7 informó a F5 sobre estas vulnerabilidades el 18 de agosto de 2022 y desde entonces han trabajado en conjunto para definir los impactos y soluciones para los productos afectados.

 

 

CVE-2022-41622 [CVSSv3: 8.8]
Ejecución de código remoto no autenticado en la API SOAP a través de CSRF

Catalogada como la vulnerabilidad más grave de este aviso, esta permite que un atacante logre obtener acceso raíz persistente a la interfaz de administración del dispositivo (incluso si la interfaz de administración no está orientada a Internet), según declara Rapid7 en su blog.

Lo que indica F5 sobre esta falla es que un atacante puede engañar a los usuarios que tienen al menos el privilegio de la función de administrador de recursos y están autenticados a través de la autenticación básica en iControl SOAP para que realicen acciones críticas.

Un atacante puede explotar esta vulnerabilidad solo a través del plano de control, no a través del plano de datos. Si se explota, la vulnerabilidad puede comprometer el sistema completo.

  • NOTAS:
    • Para mitigar esta vulnerabilidad, se puede usar un navegador web único y aislado al administrar el sistema BIG-IP o BIG-IQ.
    • Este ataque no se puede prevenir si se ha autenticado en iControl SOAP en el navegador web con autenticación básica. Este mecanismo de autenticación es poco común y es diferente al uso de la página de inicio de sesión para la utilidad de configuración. F5 recomienda que no se autentique con la autenticación básica en el navegador web.
    • Si sigue las mejores prácticas para asegurar el acceso a la interfaz de administración y las propias direcciones IP de los sistemas BIG-IP y BIG-IQ, ayudará a minimizar la superficie de ataque.

 

CVE-2022-41800 [CVSSv3: 8.7]
Ejecución de código remoto autenticado a través de la inyección de especificaciones de RPM

Esta segunda vulnerabilidad permite que un atacante con privilegios de administrador ejecute comandos de shell arbitrarios a través de archivos específicos RPM.

Cuando se ejecuta en el modo Dispositivo (Appliance mode), un usuario autenticado asignado al rol de Administrador puede eludir las restricciones del modo Dispositivo, utilizando un punto final REST de iControl no revelado.

Una explotación exitosa puede permitir que el atacante logre vulnerar los límites de seguridad. 

 

Omisiones de controles de seguridad sin CVE

Como se menciona al inicio de este boletín, Rapid7 informó a F5 sobre otros problemas de seguridad que afectan a sus productos, pero F5 no los considera vulnerabilidades con una superficie de ataque razonable. 

F5 declara en el aviso de seguridad que: “Reconoce que estos problemas están relacionados con la seguridad. Sin embargo, no existe una forma conocida de explotar estos problemas sin eludir primero los controles de seguridad existentes utilizando un mecanismo desconocido o no descubierto, por lo tanto, F5 no considera que estos problemas sean vulnerabilidades. F5 considera estos problemas como mejoras”.

Junto a lo anterior agregan que “Si bien un atacante con acceso Advanced Shell (bash) al sistema BIG-IP o BIG-IQ puede usar estos problemas para ejecutar comandos arbitrarios del sistema, crear o eliminar archivos o deshabilitar servicios, F5 no conoce ninguna forma en que un atacante pueda ser capaz de aprovechar estos problemas en este momento.

En las implementaciones predeterminadas, recomendadas o admitidas, sólo los usuarios con funciones de Administrador y el usuario raíz tienen acceso bash en el sistema BIG-IP o BIG-IQ, y estos usuarios ya tienen acceso completo al sistema local.

D1145045: Escalada de privilegios locales a través de permisos de socket UNIX incorrectos ( CWE-269 )

ID1144093: Omisión de SELinux a través de un contexto de archivo incorrecto ( CWE-732 )

ID1144057: Omisión de SELinux a través de la inyección de comandos en un script de actualización ( CWE-78 )

 

Apreciación

Si bien F5 no consideró como vulnerabilidades a estos problemas y no ha comunicado la existencia de explotaciones activas para las vulnerabilidades, se aconseja encarecidamente a los usuarios aplicar los parches a medida que estén disponibles o las mitigaciones entregadas por el proveedor; ya que, muchos actores de amenazas tienen como objetivo a los diversos dispositivos de la marca como BIG-IP.

 

 

Panorama Mes de la Ciberseguridad

Campaña de phishing infecta con Malware IceXLoader a dispositivos domésticos y corporativos

Jenkins publica nuevo aviso de seguridad con múltiples vulnerabilidades

 

 

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante cuando se encuentren disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Aplicar las mitigaciones que entrega el proveedor si es que no es posible instalar una versión fija, tal como se mencionan en cada aviso de seguridad. 

El listado de las CVE se adjunta a continuación:


Tags: #F5 #Networks #BIG-IP #BIG-IQ #Rapid7 #Vulnerabilidad #CVE-2022-41800 #CVE-2022-41622


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.