F5 ha lanzado revisiones para sus productos BIG-IP y BIG-IQ, que abordan dos fallas de alta gravedad que permiten a los atacantes realizar una ejecución remota de código (RCE) no autenticada en puntos finales vulnerables.
Si bien estas fallas requieren criterios específicos para existir, lo que las hace muy difíciles de explotar, F5 advierte que podría conducir a un compromiso total de los dispositivos.
La primera falla se rastrea como CVE-2022-41622 (CVSS v3 – 8.8) y es un RCE no autenticado a través de una falsificación entre sitios en iControl SOAP, que afecta a múltiples versiones de BIG-IP y BIG-IQ.
«Un atacante puede engañar a los usuarios que tienen al menos el privilegio del rol de administrador de recursos y están autenticados a través de la autenticación básica en iControl SOAP para que realicen acciones críticas», describe el aviso de F5 .
«Si se explota, la vulnerabilidad puede comprometer el sistema completo».
La segunda falla es CVE-2022-41800 (CVSS v3 – 8.7), un RCE autenticado a través de la inyección de especificaciones RPM, que afecta el componente iControl REST.
Las versiones vulnerables de BIG-IP son:
- 13.1.0 – 13.1.5
- 14.1.0 – 14.1.5
- 15.1.0 – 15.1.8
- 16.1.0 – 16.1.3
- 17.0.0
Para BIG-IQ, las versiones afectadas son:
- 7.1.0
- 8.0.0 – 8.2.0
Se recomienda a los clientes afectados que soliciten la revisión de ingeniería para la versión de su producto de F5 y que la instalen manualmente.
Para resolver CVE-2022-41622, los administradores también deben deshabilitar la autenticación básica para iControl SOAP después de instalar la revisión.
Detalles técnicos publicados
Las vulnerabilidades fueron descubiertas por investigadores de Rapid7 en julio de 2022 e informadas a F5 en agosto de 2022.
Ayer, Rapid7 publicó un informe detallado sobre las fallas que revela los detalles técnicos de las vulnerabilidades.
«Al explotar con éxito la peor de las vulnerabilidades (CVE-2022-41622), un atacante podría obtener acceso permanente a la interfaz de administración del dispositivo (incluso si la interfaz de administración no está orientada a Internet)», explica el informe de Rapid7.
Sin embargo, para que un ataque de este tipo funcione, un administrador con una sesión activa debería ser engañado para visitar un sitio web malicioso con el mismo navegador que se usa para administrar BIG-IP.
Además, el atacante necesitaría conocer la dirección de la instancia BIG-IP objetivo para ejecutar la falsificación de solicitud entre sitios contra el administrador.
Debido a esto, el investigador de Rapid7, Ron Bowes, cree que es poco probable que las vulnerabilidades reciban una explotación generalizada.
Para CVE-2022-41800 , el atacante tendría que estar autenticado con ‘Administrador de recursos’ o privilegios superiores, por lo que el impacto no es tan crítico.
F5 no tiene conocimiento de ningún incidente de explotación que involucre ninguna de las vulnerabilidades reveladas por Rapid7.
Los analistas han publicado numerosos detalles técnicos, incluido un exploit de prueba de concepto para CVE-2022-41622, por lo que es importante abordar las vulnerabilidades lo antes posible.
Además de las dos fallas de alta gravedad, Rapid7 también descubrió varios métodos de omisión del control de seguridad (SELinux), pero estos no se solucionarán porque el proveedor no los consideró explotables en la práctica.
Fuente: https://www.bleepingcomputer.com
