Se encontró una falla crítica de RCE previa a la autenticación en la plataforma F5 Big-IP: ¡parche lo antes posible!

La empresa de seguridad de aplicaciones F5 Networks publicó el miércoles una advertencia de cuatro vulnerabilidades críticas que afectan a múltiples productos y que podrían dar lugar a un ataque de denegación de servicio (DoS) e incluso a la ejecución remota de código no autenticado en las redes de destino.

Los parches se refieren a un total de siete fallas relacionadas (desde CVE-2021-22986 hasta CVE-2021-22992), dos de las cuales fueron descubiertas e informadas por Felix Wilhelm de Google Project Zero en diciembre de 2020.

Las cuatro fallas críticas afectan a las versiones 11.6 o 12.x y posteriores de BIG-IP, con una ejecución de código remota previa a la autenticación crítica (CVE-2021-22986) que también afecta a las versiones 6.x y 7.x de BIG-IQ. F5 dijo que no tiene conocimiento de ninguna explotación pública de estos problemas.

La explotación exitosa de estas vulnerabilidades podría llevar a un compromiso total de los sistemas vulnerables, incluida la posibilidad de ejecución remota de código, así como desencadenar un desbordamiento de búfer, lo que lleva a un ataque DoS.

Instando a los clientes a actualizar sus implementaciones BIG-IP y BIG-IQ a una versión fija lo antes posible, Kara Sprague de F5 Networks dijo que «las vulnerabilidades se descubrieron como resultado de pruebas de seguridad internas periódicas y continuas de nuestras soluciones y en asociación con terceros respetados que trabajan a través del programa de seguridad de F5».

Las vulnerabilidades se han solucionado en los siguientes productos:

  • Versiones de BIG-IP: 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 y 11.6.5.3
  • Versiones de BIG-IQ: 8.0.0, 7.1.0.3 y 7.0.0.2

Además de estas fallas, los parches del miércoles también incluyen arreglos para otros 14 problemas de seguridad no relacionados.

Las correcciones son notables por el hecho de que es la segunda vez en tantos años que F5 ha revelado fallas que podrían permitir la ejecución remota de código.

La última actualización del software BIG-IP llega menos de un año después de que la compañía abordara una falla crítica similar (CVE-2020-5902) a principios de julio de 2020, con múltiples grupos de piratas informáticos que explotan la falla para apuntar a dispositivos sin parches, lo que provocó que la Seguridad Cibernética de EE. UU. y Agencia de Seguridad de Infraestructura (CISA) para emitir una alerta advirtiendo de una «amplia actividad de escaneo para detectar la presencia de esta vulnerabilidad en los departamentos y agencias federales».

«Este error probablemente pasará desapercibido, pero es un problema mucho más grande de lo que parece porque dice que algo está realmente roto en el proceso de seguridad interna de los dispositivos F5 BIG-IP». dicho Matt «Pwn all the Things» Tait en un tuit.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática