F5 informa nuevas vulnerabilidades que afectan a su plataforma BIG-IP

29 Abril 2021
Alto

La compañía F5, especializada en servicios de red, generó 9 nuevos avisos de seguridad que involucran 9 CVE que mayoritariamente afectan a la plataforma BIG-IP. De las 9 vulnerabilidades descubiertas 4 son de severidad Alta y 5 de severidad Media.

F5 genero un documento destinado a servir como una descripción general de las vulnerabilidades reportadas en abril con siguiente nombre : “ K96639388: Descripción general de las vulnerabilidades F5 (abril de 2021)”.

Severidad Alta

CVE-2021-23008 Vulnerabilidad de autenticación BIG-IP APM AD (K51213246)

La autenticación BIG-IP APM AD (Active Directory) se puede omitir mediante una respuesta AS-REP (Respuesta del servicio de autenticación Kerberos) falsificada enviada a través de una conexión KDC (Centro de distribución de claves Kerberos) secuestrada o desde un servidor AD comprometido por un atacante.

CVSS: 8.1 

CVE-2021-23009 TMM con vulnerabilidad HTTP / 2 (K90603426)

Las solicitudes HTTP/2 malformadas pueden causar un bucle infinito que provoca una denegación de servicio para Data Plane traffic. TMM toma la acción HA configurada cuando se cancela el proceso de TMM. No hay exposición del plano de control, esto es solo un problema del plano de datos.

CVSS: 7.5

CVE-2021-23010 Vulnerabilidad WebSocket BIG-IP ASM/Advanced WAF (K18570111)

Cuando el sistema BIG-IP ASM/Advanced WAF procesa solicitudes de WebSocket con JSON payloads utilizando el perfil de contenido JSON predeterminado en la política de seguridad de ASM, el proceso BIG-IP ASM bd puede producir un core file.

CVSS: 7.5

CVE-2021-23015 Vulnerabilidad de REST en Appliance Mode authenticated iControl (K74151369)

Cuando se ejecuta en Appliance Mode, un usuario autenticado al que se le asigne la función de 'Administrador' puede eludir las restricciones del Appliance Mode utilizando puntos finales iControl REST no revelados.

CVSS: 8,7

Severidad Media

CVE-2021-23011 Vulnerabilidad TMM (K10751325)

Cuando el sistema BIG-IP almacena fragmentos de paquetes en búfer para su reensamblaje, el Microkernel de administración de tráfico (TMM) puede consumir una cantidad excesiva de recursos, lo que eventualmente conduce a un evento de reinicio y conmutación por error.

CVSS: 5,9

CVE-2021-23012 vulnerabilidad de ejecución de comando en administrador de recursos o rol de administrador autenticado (K04234247)

La falta de validación de entrada para los elementos utilizados en la funcionalidad de soporte del sistema puede permitir a los usuarios a los que se les otorgó roles de "Administrador de recursos" o "Administrador" ejecutar comandos bash arbitrarios en BIG-IP.

CVSS: 7,9 / 6,0 (alto / medio, según la configuración del sistema)

CVE-2021-23013 vulnerabilidad TMM SCTP (K05300051)

El Microkernel de administración de tráfico (TMM) puede dejar de responder al procesar el tráfico del Protocolo de transmisión de control de flujo (SCTP) en determinadas condiciones. Esta vulnerabilidad afecta a TMM a través de un servidor virtual configurado con un perfil SCTP.

CVSS: 5,9

CVE-2021-23014 vulnerabilidad en BIG-IP Advanced WAF y ASM REST API (K23203045)

BIG-IP Advanced WAF y ASM les faltan comprobaciones de autorización para la carga de archivos en un directorio específico dentro de la API REST, lo que podría permitir a los usuarios autenticados con privilegios de invitado cargar archivos.

CVSS: 4,3 

CVE-2021-23016 Vulnerabilidad Bypass en BIG-IP APM ACL (K75540265)

Un atacante puede eludir las restricciones internas de APM y recuperar contenido estático alojado en APM enviando solicitudes específicamente diseñadas a un servidor virtual de APM.

CVSS: 5,3

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

 

El listado de las CVE se adjunta a continuación:


Tags: #F5 #Parche #BIG-IP #CVE-2021-23008 #CVE-2021-23009 #CVE-2021-23010 #CVE-2021-23015 #CVE-2021-23011 #CVE-2021-23012 #CVE-2021-23013 #CVE-2021-23014 #CVE-2021-23016


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.