El proveedor de redes y seguridad empresarial F5 ha lanzado parches para más de dos docenas de vulnerabilidades de seguridad que afectan a diferentes versiones de dispositivos BIG-IP y BIG-IQ que podrían permitir que un atacante realice una amplia gama de acciones maliciosas, incluido el acceso a archivos arbitrarios, escalando permisos y código JavaScript en ejecución.

De los 29 errores abordados, 13 son muy graves, 15 se califican como medios y uno se califica como bajo.

La principal es CVE-2021-23031 (puntuación CVSS: 8,8), una vulnerabilidad que afecta a BIG-IP Advanced Web Application Firewall y BIG-IP Application Security Manager, que permite a un usuario autenticado escalar permisos.

«Cuando se explota esta vulnerabilidad, un atacante autenticado con acceso a la herramienta de configuración podría ejecutar comandos arbitrarios del sistema, crear o eliminar archivos y/o deshabilitar servicios. Esta vulnerabilidad podría comprometer completamente el sistema», dijo F5 en un comunicado. declaración.

Vale la pena señalar que para los clientes que operan dispositivos en modo Dispositivo que aplican restricciones técnicas adicionales en sectores sensibles, la misma vulnerabilidad viene con una calificación crítica de 9.9 de 10. «Debido a que este ataque está dirigido por usuarios legítimos y autenticados, no hay mitigación viable que también permite a los usuarios acceder a la herramienta de configuración. La única mitigación es eliminar el acceso de los usuarios que no son de total confianza”, dijo la compañía.

Otras vulnerabilidades importantes abordadas por F5 se enumeran a continuación:

• CVE-2021-23025 (Puntuación CVSS: 7.2) – Vulnerabilidad en la ejecución de comandos remotos autenticados en la herramienta de configuración BIG-IP
• CVE-2021-23026 (Puntuación CVSS: 7,5) – Vulnerabilidad frente a solicitudes entre páginas (CSRF) en iControl SOAP
• CVE-2021-23027 y CVE-2021-23037 (Puntuación CVSS: 7,5) – Vulnerabilidades en secuencias de comandos basadas en TMUI DOM (XSS)
• CVE-2021-23028 (Puntuación CVSS: 7,5) – Vulnerabilidad de BIG-IP Advanced WAF y ASM
• CVE-2021-23029 (Puntuación CVSS: 7,5) – Vulnerabilidad de BIG-IP Advanced WAF y ASM TMUI
• CVE-2021-23030 y CVE-2021-23033 (Puntuación CVSS: 7,5) – Vulnerabilidades de Websocket de BIG-IP Advanced WAF y ASM
• CVE-2021-23032 (Puntuación CVSS: 7,5) – Vulnerabilidad de DNS de BIG-IP
• CVE-2021-23034, CVE-2021-23035 y CVE-2021-23036 (Puntuación CVSS: 7,5) – Vulnerabilidades del microkernel de control de tráfico

Además, F5 también solucionó una serie de vulnerabilidades, que van desde vulnerabilidades de rastreo de directorios e inserción de SQL hasta vulnerabilidades de suplantación y redirección de sitio abierto, así como un error en la base de datos MySQL que hace que la base de datos consuma más almacenamiento de lo esperado. – Las funciones de protección de firewall están habilitadas.

Dado que los dispositivos F5 a menudo se convierten en objetivos jugosos para los intentos de abuso activo por parte de los actores de amenazas, se recomienda encarecidamente que los usuarios y administradores instalen software actualizado o apliquen las mitigaciones necesarias lo antes posible.