Vulnerabilidad en F5 BIG-IP
F5 reportó una vulnerabilidad de severidad crítica (CVSS:3.1=9.8) sobre el módulo iControl REST.
Detalles Técnicos
Esta vulnerabilidad permite a quien ataca ejecutar código arbitrario remoto, que permitiría entre otras acciones: la creación o borrado de archivos, o bien habilitar y deshabilitar servicios del equipo vulnerado.
Para ser explotada es necesario contar con acceso de red; por otra parte, no se requiere contar con credenciales o estar autenticado.
Detección
Se pueden identificar intentos de explotación de esta vulnerabilidad por medio del análisis de las trazas de auditoria de acceso a la página de administración. Particularmente, las solicitudes de origen desconocido o no esperado a la URL “/mgmt/shared/authn/login”
Mitigación
De no ser posible realizar la actualización de seguridad a la brevedad, se recomienda:
Bloquear el acceso REST de iControl a través de la propia dirección IP.
Bloquear el acceso REST de iControl a través de la interfaz de administración.
Modificar la configuración httpd de BIG-IP.
Se puede encontrar información de cómo proceder para aplicar los cambios sugeridos por el fabricante, en los siguientes enlaces:
Recomendaciones
Instamos a los administradores aplicar los parches de seguridad recomendados por el fabricante.
Se detallan a continuación las versiones de software vulnerables y las versiones recomendadas que la corrigen.
| Producto | Branch | Versión Vulnerable | Versión Recomendada |
|---|---|---|---|
| BIG-IP | 17.x | None | 17.0.0 |
| 16.x | 16.1.0 - 16.1.2 | 16.1.2.2 | |
| 15.x | 15.1.0 - 15.1.5 | 15.1.5.1 | |
| 14.x | 14.1.0 - 14.1.4 | 14.1.4.6 | |
| 13.x | 13.1.0 - 13.1.4 | 13.1.5 | |
| 12.x | 12.1.0 - 12.1.6 | No se desarrollará parche | |
| 11.x | 11.6.1 - 11.6.5 | No se desarrollará parche |
Referencias