El proveedor de seguridad en la nube y red de entrega de aplicaciones ( ADN ), F5, lanzó el miércoles parches para contener 43 errores que abarcan sus productos.
De los 43 problemas abordados , uno tiene una calificación Crítica, 17 tienen una calificación Alta, 24 tienen una calificación Media y uno tiene una gravedad baja.
La principal de las fallas es CVE-2022-1388 , que tiene un puntaje CVSS de 9.8 de un máximo de 10 y se deriva de la falta de verificación de autenticación, lo que podría permitir que un atacante tome el control de un sistema afectado.
«Esta vulnerabilidad puede permitir que un atacante no autenticado con acceso de red al sistema BIG-IP a través del puerto de administración y/o direcciones IP propias ejecute comandos arbitrarios del sistema, cree o elimine archivos o deshabilite servicios», dijo F5 en un aviso. «No hay exposición del plano de datos; este es solo un problema del plano de control».
La vulnerabilidad de seguridad, que según la compañía fue descubierta internamente, afecta a los productos BIG-IP con las siguientes versiones:
- 16.1.0 – 16.1.2
- 15.1.0 – 15.1.5
- 14.1.0 – 14.1.4
- 13.1.0 – 13.1.4
- 12.1.0 – 12.1.6
- 11.6.1 – 11.6.5
Se han introducido parches para la falla de omisión de autenticación REST de iControl en las versiones 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6 y 13.1.5. Otros productos de F5, como BIG-IQ Centralized Management, F5OS-A, F5OS-C y Traffix SDC, no son vulnerables a CVE-2022-1388.
F5 también ha ofrecido soluciones temporales hasta que se puedan aplicar las correcciones:
- Bloquee el acceso REST de iControl a través de la propia dirección IP
- Bloquee el acceso REST de iControl a través de la interfaz de administración
- Modificar la configuración httpd de BIG-IP
Otros errores notables resueltos como parte de la actualización incluyen aquellos que podrían permitir que un atacante autenticado eluda las restricciones del modo Dispositivo y ejecute código JavaScript arbitrario en el contexto del usuario conectado actualmente.
Con los dispositivos F5 ampliamente implementados en las redes empresariales, es imperativo que las organizaciones se muevan rápidamente para aplicar los parches para evitar que los actores de amenazas exploten el vector de ataque para el acceso inicial.
Las correcciones de seguridad se producen cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó cinco nuevas fallas a su Catálogo de Vulnerabilidades Explotadas Conocidas en función de la evidencia de explotación activa:
- CVE-2021-1789 : Vulnerabilidad de confusión de tipos de productos múltiples de Apple
- CVE-2019-8506 : Vulnerabilidad de confusión de tipos de productos múltiples de Apple
- CVE-2014-4113 : vulnerabilidad de escalada de privilegios de Microsoft Win32k
- CVE-2014-0322 : vulnerabilidad de uso posterior a la liberación de Microsoft Internet Explorer
- CVE-2014-0160 : Vulnerabilidad de divulgación de información de OpenSSL
Fuente: https://thehackernews.com
