F5 insta a los clientes a corregir el error crítico de RCE previo a la autenticación de BIG-IP

F5 Networks, un proveedor líder de equipos de redes empresariales, anunció cuatro vulnerabilidades críticas de ejecución remota de código (RCE) que afectan a la mayoría de las versiones de software BIG-IP y BIG-IQ.

Los clientes de hardware y software BIG-IP de F5 incluyen gobiernos, compañías Fortune 500, bancos, proveedores de servicios de Internet y marcas de consumo (incluidas Microsoft, Oracle y Facebook), y la compañía afirma que "48 de las compañías Fortune 50 confían en F5 ".

Las cuatro vulnerabilidades críticas que se enumeran a continuación también incluyen una falla de seguridad de autorización previa de RCE (CVE-2021-22986) que permite a atacantes remotos no autenticados ejecutar comandos arbitrarios en dispositivos BIG-IP comprometidos:

Hoy, F5 publicó avisos de seguridad sobre otras tres vulnerabilidades de RCE (dos altas y una media, con niveles de gravedad CVSS entre 6.6 y 8.8), lo que permite a atacantes remotos autenticados ejecutar comandos arbitrarios del sistema.

La explotación exitosa de las vulnerabilidades críticas de BIG-IP RCE podría llevar a un compromiso completo del sistema, incluida la interceptación del tráfico de la aplicación del controlador y el movimiento lateral a la red interna.

Las siete vulnerabilidades se corrigen en las siguientes versiones de BIG-IP: 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 y 11.6.5.3, según F5.

CVE-2021-22986, la falla previa a la autenticación RCE, también afecta a BIG-IQ (una solución de administración para dispositivos BIG-IP) y se ha corregido en 8.0.0, 7.1.0.3 y 7.0.0.2.

"Recomendamos encarecidamente a todos los clientes que actualicen sus sistemas BIG-IP y BIG-IQ a una versión fija lo antes posible., "Dice F5 en un notificación lanzado hoy.

"Para solucionar por completo las vulnerabilidades críticas, todos los clientes de BIG-IP deberán actualizar a una versión fija".

F5 proporciona información sobre cómo actualizar el software que se ejecuta en sus dispositivos BIG-IP con detalles sobre múltiples escenarios de actualización en este Guía de actualización de BIG-IP.

Hemos anunciado varias correcciones para las vulnerabilidades, 4 de las cuales son críticas. Si es cliente de F5, actualice sus sistemas BIG-IP y BIG-IQ lo antes posible para protegerse por completo. Encontrarás toda la información aquí: https://t.co/9Bu53O3cjg pic.twitter.com/rjyUu29DfM

- F5 (@ F5) 10 de marzo de 2021

Defectos de BIG-IP RCE previamente explotados por piratas informáticos estatales

En julio de 2020, F5 solucionó una vulnerabilidad crítica de RCE con una puntuación máxima de CVSSv3 de 10/10 supervisada como CVE-2020-5902 y que afectaba a la interfaz de usuario de gestión de tráfico (TMUI) de los dispositivos ADC BIG-IP.

De manera similar al error de preautorización de RCE anunciado hoy, CVE-2020-5902 permite que atacantes no autenticados ejecuten comandos del sistema arbitrarios después de una explotación exitosa.

Los investigadores de seguridad de Dragos informaron en septiembre que el grupo de piratas informáticos Pioneer Kitten, respaldado por Irán, ha comenzado a apuntar a empresas que no han parcheado sus dispositivos BIG-IP desde principios de julio de 2020 después del anuncio del defecto.

La actividad maliciosa revelada por Dragos se alineó con una notificación del sector privado del FBI en agosto que también advirtió a los piratas informáticos estatales iraníes que intentaban explotar dispositivos ADC Big-IP vulnerables desde principios de julio de 2020.

CISA ha emitido otra advertencia con respecto a los piratas informáticos patrocinados por China que se dirigen a agencias gubernamentales al perseguir e intentar piratear dispositivos y servidores F5, Microsoft Exchange, Citrix, Pulse Secure.

Las empresas con ADC BIG-IP F5 sin parches enfrentan un riesgo aún mayor de los actores de amenazas motivados financieramente que también pueden implementar ransomware en redes comprometidas y robar credenciales para acceder a otros dispositivos de red.