(https://i.imgur.com/fBhc8gu.jpg)
Empresa de seguridad de aplicaciones de F5 Networks publicó el miércoles un asesor de alerta de cuatro vulnerabilidades críticas que afectan a varios productos que podrían resultar en un ataque de denegación de servicio (DoS) y la ejecución de código remoto no autenticado, incluso en redes de destino.
Los parches se refieren a un total de siete fallas relacionadas (desde CVE-2021-22986 hasta CVE-2021-22992), dos de las cuales fueron descubiertas e informadas por Felix Wilhelm de Google Project Zero en diciembre de 2020.
Las cuatro fallas críticas afectan a las versiones 11.6 o 12.xy más recientes de BIG-IP, con una ejecución de código remoto previo a la autenticación crítica (CVE-2021-22986) que también afecta las versiones 6.xy 7.x de BIG-IQ. F5 dijo que no tiene conocimiento de ninguna explotación pública de estos problemas.
La explotación exitosa de estas vulnerabilidades podría conducir a un compromiso total de los sistemas vulnerables, incluida la posibilidad de ejecución remota de código, así como desencadenar un desbordamiento del búfer, lo que provocaría un ataque DoS.
Al instar a los clientes a actualizar sus implementaciones de BIG-IP y BIG-IQ a una versión fija lo antes posible, Kara Sprague de F5 Networks dijo que "las vulnerabilidades se descubrieron como resultado de las pruebas de seguridad internas regulares y continuas de nuestras soluciones y en asociación con terceros respetados que trabajan a través del programa de seguridad de F5 ".
(https://i.imgur.com/lEIwXUg.jpg)
Las vulnerabilidades se han abordado en los siguientes productos:
Versiones de BIG-IP: 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 y 11.6.5.3
Versiones de BIG-IQ: 8.0.0, 7.1.0.3 y 7.0.0.2
Además de estas fallas, los parches del miércoles también incluyen correcciones para otros 14 problemas de seguridad no relacionados.
Las correcciones son notables por el hecho de que es la segunda vez en tantos años que F5 revela fallas que podrían permitir la ejecución remota de código.
La última actualización del software BIG-IP llega menos de un año después de que la compañía abordara una falla crítica similar ( CVE-2020-5902 ) a principios de julio de 2020, con varios grupos de piratería explotando la falla para atacar dispositivos sin parche, lo que provocó la Infrastructure Security Agency (CISA) para emitir una alerta advirtiendo de una "amplia actividad de escaneo para la presencia de esta vulnerabilidad en los departamentos y agencias federales".
"Este error probablemente pasará desapercibido, pero es un problema mucho mayor de lo que parece porque dice que algo está realmente roto en el proceso de seguridad interna de los dispositivos F5 BIG-IP", dijo Matt. "Tait en un tweet.
Fuente: The Hacker News