F5 lanza un parche de seguridad crítico para dispositivos BIG-IP y BIG-IQ

El proveedor de dispositivos de red y seguridad empresarial F5 ha publicado parches para más de dos docenas de vulnerabilidades de seguridad que afectan a múltiples versiones de dispositivos BIG-IP y BIG-IQ que podrían permitir a un atacante realizar una amplia gama de acciones maliciosas, incluido el acceso a archivos arbitrarios, escalando privilegios y ejecutar código JavaScript.

De los 29 errores solucionados, 13 son defectos de gravedad alta, 15 se clasifican como medios y uno tiene una gravedad baja.

El principal de ellos es CVE-2021-23031 (puntuación CVSS: 8,8), una vulnerabilidad que afecta a BIG-IP Advanced Web Application Firewall y BIG-IP Application Security Manager que permite a un usuario autenticado realizar una escalada de privilegios.

"Cuando se explota esta vulnerabilidad, un atacante autenticado con acceso a la utilidad de configuración puede ejecutar comandos arbitrarios del sistema, crear o eliminar archivos y / o deshabilitar servicios. Esta vulnerabilidad puede resultar en un compromiso total del sistema", dijo F5 en su aviso.

Vale la pena señalar que para los clientes que ejecutan el dispositivo en modo de dispositivo , que aplica restricciones técnicas adicionales en sectores sensibles, la misma vulnerabilidad viene con una calificación crítica de 9,9 sobre 10. "Como este ataque lo llevan a cabo usuarios legítimos y autenticados, hay no hay una mitigación viable que también permita a los usuarios acceder a la utilidad de configuración. La única mitigación es eliminar el acceso a los usuarios que no son completamente confiables ", dijo la compañía.

Las otras vulnerabilidades importantes resueltas por F5 se enumeran a continuación:

- CVE-2021-23025 (puntuación CVSS: 7,2): vulnerabilidad de ejecución de comandos remotos autenticados en la utilidad de configuración BIG-IP
- CVE-2021-23026 (puntuación CVSS: 7,5): vulnerabilidad de falsificación de solicitudes entre sitios (CSRF) en iControl SOAP
- CVE-2021-23027 y CVE-2021-23037 (puntuación CVSS: 7,5) - Vulnerabilidades de secuencias de comandos de sitios cruzados (XSS) basadas en DOM de TMUI y reflejadas
- CVE-2021-23028 (puntuación CVSS: 7,5): vulnerabilidad de WAF y ASM avanzada de BIG-IP
- CVE-2021-23029 (puntuación CVSS: 7.5) - Vulnerabilidad de BIG-IP Advanced WAF y ASM TMUI
- CVE-2021-23030 y CVE-2021-23033 (puntuación CVSS: 7,5): vulnerabilidades de BIG-IP Advanced WAF y ASM Websocket
- CVE-2021-23032 (puntuación CVSS: 7,5): vulnerabilidad de DNS de BIG-IP
- CVE-2021-23034, CVE-2021-23035 y CVE-2021-23036 (puntuación CVSS: 7,5): vulnerabilidades del microkernel de gestión del tráfico.

Además, F5 también ha parcheado una serie de fallas que van desde la vulnerabilidad de recorrido de directorio y la inyección de SQL hasta la vulnerabilidad de redireccionamiento abierto y la falsificación de solicitudes entre sitios, así como una falla de la base de datos MySQL que hace que la base de datos consuma más espacio de almacenamiento de lo esperado cuando es brutal. -Las funciones de protección de fuerza del cortafuegos están habilitadas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta