Alertas de seguridad

Vulnerabilidades críticas en F5

Esta vulnerabilidad permite a los atacantes no autenticados, o usuarios autenticados, con acceso de red a la utilidad de configuración, a través del puerto de administración BIG-IP y/o IPs propias, ejecutar comandos arbitrarios del sistema, crear o eliminar archivos, deshabilitar servicios y/o ejecutar código arbitrario de Java. Esta vulnerabilidad puede resultar en un compromiso completo del sistema.

La vulnerabilidad CVE-2020-5902 permite a los atacantes tomar el control completo de los sistemas, independientemente de si está o no autenticado, ejecutar comandos arbitrarios del sistema, crear o eliminar archivos, deshabilitar servicios y/o ejecutar código Java de forma arbitraria.


Recursos afectados

Las vulnerabilidades mencionadas afectan los siguientes productos de BIG-IP:

  • LTM
  • AAM
  • AFM
  • Analytics
  • APM
  • ASM
  • AWAF
  • DDHD
  • DNS
  • FPS
  • GTM
  • Link Controller
  • PEM
  • SSLO

En adición, se reportan las siguientes versiones afectadas:

  • 6.1 - 11.6.5
  • 1.0 - 12.1.5
  • 1.0 - 13.1.3
  • 1.0 - 14.1.2
  • 0.0 - 15.1.0

Detalle

A continuación, se relaciona el detalle de cada una de las vulnerabilidades asociadas:

CVE-2020-5902

Un atacante no autenticado puede explotar de forma remota esta vulnerabilidad enviando una solicitud HTTP malintencionada al servidor vulnerable que aloja la utilidad de interfaz de usuario de gestión de tráfico (TMUI) para la configuración BIG-IP.

La explotación exitosa de esta vulnerabilidad podría permitir a los atacantes obtener el control total del administrador sobre el dispositivo, eventualmente haciéndolos realizar cualquier tarea que deseen en el dispositivo comprometido sin ninguna autorización.

Según Mikhail Klyuchnikov: "El atacante puede crear o eliminar archivos, deshabilitar servicios, interceptar información, ejecutar comandos arbitrarios del sistema y código Java, comprometer completamente el sistema y perseguir objetivos adicionales, como la red interna".

CVE-2020-5903

Es una vulnerabilidad de secuencias de comandos entre sitios en TMUI y Configuration Utility, lo que hace que sea una falla de gravedad "alta". Según el aviso de F5, la explotación otorgaría a un atacante la capacidad de ejecutar código JavaScript con los mismos privilegios que el usuario actual. Si el usuario actual tiene privilegios administrativos que le otorgan acceso Advanced Shell, un atacante podría "comprometer completamente el sistema BIG-IP a través de la ejecución remota de código".

Si el usuario tiene privilegios de administrador y acceso a Advanced Shell (bash), la explotación exitosa puede llevar a un compromiso total de BIG-IP a través de RCE.

Solución

Se recomienda a las empresas y administradores afectados que dependen de las versiones vulnerables de BIG-IP 11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x que actualicen sus dispositivos a las últimas versiones 11.6.5.2, 12.1 .5.2, 13.1.3.4, 14.1.2.6, 15.1.0.4 lo antes posible.

Además, se recomienda a los usuarios de mercados de nube pública como AWS (Amazon Web Services), Azure, GCP y Alibaba que cambien a las versiones BIG-IP Virtual Edition (VE) 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1. 2.6, 15.0.1.4 o 15.1.0.4, tan pronto como estén disponibles.