Vulnerabilidades críticas en BIG-IP y BIG-IQ de F5

ANÁLISIS

A día 10 de marzo de 2021, varias vulnerabilidades para el software BIG-IP y BIG-IQ de F5 han sido parcheadas [2]. Entre las vulnerabilidades se incluye una de ejecución de código remoto sin autenticación.

Se han corregido un total de siete vulnerabilidades siendo cuatro de ellas críticas. Las vulnerabilidades se han corregido en las versiones de BIG-IP 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3, y 11.6.5.3. Las vulnerabilidades son las que se listan a continuación.

CVE-2021-22986 (CVSS score: 9.8) [3]:
La iterfaz REST de iControl posee una vulnerabilidad de ejecución de código remoto sin autenticación.

CVE-2021-22987 (CVSS score: 9.9 )[4]:
Durante la ejecución en modo Appliance,la Interfaz de Usuario de Gestión de Tráfico (TMUI), también referida como utilidad de Configuración, contiene una vulnerabilidad de ejecución de código remoto con autenticación en páginas no-publicadas.

CVE-2021-22988 (CVSS score: 8.8)[5]:
TMUI, tiene una segunda vulnerabilidad de ejecución de código remoto con autenticación en páginas no-publicadas.

CVE-2021-22989 (CVSS score: 8.0)[6]:
Durante la ejecución en modo Appliance con el firewall web avanzado (Advanced WAF) o proveedor ASM BIG-IP, la TMUI (utilidad de Configuración) tiene otra vulnerabilidad más de ejecución de código remoto con autenticación en páginas no-publicadas.

CVE-2021-22990 (CVSS score: 6.6)[7]:
Durante la ejecución en modo Appliance con el firewall web avanzado (Advanced WAF) o proveedor ASM BIG-IP, la TMUI (utilidad de Configuración) tiene de nuevo otra vulnerabilidad de ejecución de código remoto con autenticación en páginas no-publicadas.

CVE-2021-22991 (CVSS score: 9.0)[8]:
Ciertas peticiones a servidores virtuales pueden ser procesadas de manera incorrecta por el Traffic Management Mikrokernel (TMM), que podría causar un desbordamiento de buffer, resultando en un ataque de denegación de servicio. En situaciones específicas también podría permitir el rodeo del control de acceso basado en URL, o ejecución de código remoto.

CVE-2021-22992 (CVSS score: 9.0)[9]:
Una respuesta HTTP maliciosa hacia un WAF avanzado o un servidor BIG-IP ASM con una página de inicio de sesión podría disparar un desbordamiento de buffer, resultando en un ataque de denegación de servicio. En situaciones específicas también podría permitir ejecución de código remoto, resultando en el compromiso total del sistema.

 El CVE-2021-22986 de ejecución de código remoto sin autenticación, también afecta a BIG-IQ (solución de administración de dispositivos BIG-IP),  y ha sido corregido en las versiones 8.0.0, 7.1.0.3, y 7.0.0.2.

La explotación exitosa de las vulnerabilidades de ejecución de código remoto podrían dar lugar al compromiso total de los sistemas, incluyendo el interceptado de tráfico y movimiento lateral a través de la red.

RECOMENDACIONES 

Actualizar los sistemas BIG-IP y BIG-IQ a una versión corregida tan pronto como sea posible [10].

REFERENCIAS

[1] https://www.bleepingcomputer.com/news/security/f5-urges-customers-to-patch-critical-big-ip-pre-auth-rce-bug/
[2] https://support.f5.com/csp/article/K02566623
[3] https://support.f5.com/csp/article/K03009991
[4] https://support.f5.com/csp/article/K18132488
[5] https://support.f5.com/csp/article/K70031188
[6] https://support.f5.com/csp/article/K56142644
[7] https://support.f5.com/csp/article/K45056101
[8] https://support.f5.com/csp/article/K56715231
[9] https://support.f5.com/csp/article/K52510511
[10] https://support.f5.com/csp/article/K84205182