Múltiples vulnerabilidades que afectan a productos F5

02 Julio 2020
Crítico

La marca F5 dio a conocer variadas vulnerabilidades para sus productos BIG-IP y NGINX Controller que podrían permitir a un atacante ejecutar comandos arbitrarios del sistema, leer y modificar datos entre otros. Una de ellas sería de severidad crítica, cinco altas, seis medias y una de severidad baja.

BIG-IP CVE-2020-5902 (Crítico)

La interfaz de usuario de gestión de tráfico (TMUI), también conocida como utilidad de configuración, tiene una vulnerabilidad de ejecución de código remoto (RCE) en páginas no reveladas.

Esta vulnerabilidad permite a los atacantes no autenticados, o usuarios autenticados, con acceso de red a TMUI (Traffic Management User Interface), a través del puerto de administración BIG-IP y Self IPs, ejecutar comandos arbitrarios del sistema, crear o eliminar archivos, deshabilitar servicios y ejecutar arbitrariamente Código Java. Esta vulnerabilidad puede resultar en un compromiso completo del sistema. El sistema BIG-IP en modo Appliance también es vulnerable. Este problema no está expuesto en el plano de datos, solo se ve afectado el plano de control.

BIG IP CVE-2020-5903 (Alta)

Existe una vulnerabilidad de Cross-Site Scripting (XSS) en una página no revelada de la utilidad de configuración BIG-IP.

Un atacante puede aprovechar esta vulnerabilidad para ejecutar JavaScript en el contexto del usuario actualmente conectado. En el caso de un usuario administrativo con acceso a Advanced Shell (bash), se puede aprovechar la explotación exitosa de esta vulnerabilidad para comprometer completamente el sistema BIG-IP a través de la ejecución remota de código.

BIG IP CVE-2020-5904 (Alta)

Existe una vulnerabilidad de falsificación de solicitud entre sitios (CSRF) en la interfaz de usuario de gestión de tráfico (TMUI), también conocida como la utilidad de configuración.

Un atacante puede usar la sesión de un usuario administrador para ejecutar comandos TMOS Shell (tmsh) en el sistema BIG-IP. Esta vulnerabilidad afecta solo al plano de control y un usuario administrador debe iniciar sesión para que el exploit sea posible.

NGINX Controller CVE-2020-5899 (Alta)

El código de recuperación requerido para cambiar la contraseña de un usuario se transmite y almacena en la base de datos en texto sin formato, lo que permite a un atacante que puede interceptar la conexión de la base de datos o tener acceso de lectura a la base de datos, solicitar un restablecimiento de contraseña utilizando la dirección de correo electrónico de otro usuario registrado luego recupere el código de recuperación.

Con el código de recuperación extraído, el atacante puede cambiar la contraseña del usuario víctima. Si el usuario víctima es un usuario administrador, el atacante puede obtener el control total del sistema NGINX Controller.

NGINX Controller CVE-2020-5900 (Alta)

Insuficientes protecciones de falsificación de solicitudes entre sitios (CSRF) para la interfaz de usuario del controlador NGINX. La falsificación de solicitudes entre sitios (Cross-Site Request Forgery CSRF) es un ataque que obliga a un usuario final a ejecutar acciones no deseadas en una aplicación web en la que está autenticado actualmente. 

Un atacante puede explotar esta vulnerabilidad al atraer a un usuario víctima a seguir un enlace malicioso. Una explotación exitosa puede permitir que el atacante realice acciones arbitrarias en la interfaz de usuario web con el nivel de privilegio del usuario víctima.

NGINX Controller CVE-2020-5901 (Alta)

Los puntos finales de API no revelados pueden permitir un ataque reflejado de Cross Site Scripting (XSS). Si el usuario víctima ha iniciado sesión como administrador, esto podría resultar en un compromiso completo del sistema.

Para que ocurra el ataque, un usuario debe visitar una URL especialmente diseñada que incluye el nombre de host de destino específico.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #f5 #parche #NGINX #Controller #BIGIQ #MitM


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.