F5 advierte sobre un error crítico de BIG-IP RCE que permite la toma de control del dispositivo

F5 ha emitido una advertencia de seguridad sobre una falla que puede permitir que atacantes no autenticados con acceso a la red ejecuten comandos arbitrarios del sistema, realicen acciones de archivos y deshabiliten servicios en BIG-IP.

La vulnerabilidad se rastrea como CVE-2022-1388 y tiene una clasificación de gravedad CVSS v3 de 9.8, categorizada como crítica. Su explotación puede conducir potencialmente a una adquisición completa del sistema.

Según el aviso de seguridad de F5, la falla se encuentra en el componente REST de iControl y permite que un actor malicioso envíe solicitudes no reveladas para eludir la autenticación REST de iControl en BIG-IP.

Debido a la gravedad de la vulnerabilidad y al despliegue generalizado de productos BIG-IP en entornos críticos, CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad) también ha emitido una alerta hoy.

La lista completa de los productos afectados se muestra a continuación:

  • BIG-IP versiones 16.1.0 a 16.1.2
  • BIG-IP versiones 15.1.0 a 15.1.5
  • BIG-IP versiones 14.1.0 a 14.1.4
  • BIG-IP versiones 13.1.0 a 13.1.4
  • BIG-IP versiones 12.1.0 a 12.1.6
  • BIG-IP versiones 11.6.1 a 11.6.5

F5 ha introducido correcciones en v17.0.0, v16.1.2.2, v15.1.5.1, v14.1.4.6 y v13.1.5. Las ramas de 12.x y 11.x no recibirán un parche de corrección.

Además, el aviso aclara que BIG-IQ Centralized Management, F5OS-A, F5OS-C y Traffic SDC no se ven afectados por CVE-2022-1388.

Tabla de productos afectados y versiones corregidas
Productos afectados y versiones corregidas (F5)

F5 ha proporcionado las siguientes tres mitigaciones efectivas que pueden usarse temporalmente para aquellos que no pueden aplicar las actualizaciones de seguridad de inmediato.

Bloquee todos los accesos a la interfaz REST iControl de su sistema BIG-IP a través de direcciones IP propias, restrinja el acceso solo a usuarios y dispositivos de confianza a través de la interfaz de administración o modifique la configuración httpd de BIG-IP.

F5 proporcionó todos los detalles sobre cómo hacer lo anterior en el aviso, pero algunos métodos, como bloquear el acceso por completo, pueden afectar los servicios, incluida la interrupción de las configuraciones de alta disponibilidad (HA). Como tal, aplicar las actualizaciones de seguridad sigue siendo el camino recomendado a seguir, si es posible.

Finalmente, F5 ha publicado un aviso más genérico para cubrir un conjunto adicional de 17 vulnerabilidades de alta gravedad descubiertas y reparadas en BIG-IP, así que asegúrese de comprobarlo también.

Más de 16 000 dispositivos BIG-IP expuestos

Con los dispositivos F5 BIG-IP comúnmente utilizados en la empresa, esta vulnerabilidad presenta un riesgo significativo para permitir que los actores de amenazas obtengan acceso inicial a las redes corporativas.

Para empeorar las cosas, en lugar de que la empresa proteja adecuadamente los dispositivos BIG-IP, el investigador de seguridad Nate Warfield ha visto que la cantidad de dispositivos expuestos públicamente ha aumentado significativamente desde 2020.

Usando la consulta compartida por Warfield, Shodan muestra que actualmente hay 16,142 dispositivos F5 BIG-IP expuestos públicamente a Internet. La mayoría de estos dispositivos se encuentran en EE. UU., seguidos de China, India, Australia y Japón.

Shodan mostrando dispositivos F5 BIG-IP en Internet
Shodan mostrando dispositivos F5 BIG-IP en Internet

Los investigadores de seguridad ya han comenzado a reducir la ubicación de la vulnerabilidad, y no sería sorprendente ver que los actores de amenazas comiencen a buscar dispositivos vulnerables en breve.

Por lo tanto, los administradores de red deben parchear estos dispositivos lo antes posible o al menos aplicar las mitigaciones proporcionadas.

Descubre más contenido

Subir Change privacy settings