Vulnerabilidad de F5 BIG-IP (CVE-2022-1388)

ANÁLISIS

Esta vulnerabilidad puede permitir a un atacante no autentificado con acceso de red al sistema BIG-IP a través del puerto de gestión y/o direcciones IP propias ejecutar comandos arbitrarios del sistema, crear o eliminar archivos, o deshabilitar servicios. No hay exposición en el plano de datos; este es un problema en el plano de control solamente.

La vulnerabilidad ha sido identificada como CVE-2022-1388 y tiene una calificación de CVSS v3 de 9,8, categorizada como crítica. Su explotación puede conducir potencialmente a una toma de posesión completa del sistema.

El fallo se encuentra en el componente REST de iControl y permite a un actor malintencionado enviar peticiones no reveladas para saltarse la autenticación REST de iControl en BIG-IP.

Productos afectados:

• BIG-IP versiones 16.1.0 a 16.1.2
• BIG-IP versiones 15.1.0 a 15.1.5
• BIG-IP versiones 14.1.0 a 14.1.4
• BIG-IP versiones 13.1.0 a 13.1.4
• BIG-IP versiones 12.1.0 a 12.1.6
• BIG-IP versiones 11.6.1 a 11.6.5

RECOMENDACIONES

F5 ha introducido correcciones en v17.0.0, v16.1.2.2, v15.1.5.1, v14.1.4.6 y v13.1.5.

Si no se dispone de una versión actualizada, los usuarios pueden restringir el acceso a iControl REST sólo a redes o dispositivos de confianza, limitando así la superficie de ataque:

• Bloquear el acceso a iControl REST a través de la dirección IP propia [1]
• Bloquear el acceso a iControl REST a través de la interfaz de gestión [2]
• Modificar la configuración de BIG-IP httpd [3]

REFERENCIAS

[1] https://support.f5.com/csp/article/K23605346#proc1
[2] https://support.f5.com/csp/article/K23605346#proc2
[3] https://support.f5.com/csp/article/K23605346#proc3
https://support.f5.com/csp/article/K23605346
https://www.bleepingcomputer.com/news/security/f5-warns-of-critical-big-ip-rce-bug-allowing-device-takeover/