Múltiples vulnerabilidades en productos BIG-IP

Se han reportado múltiples vulnerabilidades que afectan a productos BIG-IP, que podrían permitir a un atacante realizar denegación del servicio (DoS), escalamiento de privilegios, ejecutar códigos arbitrarios en el sistema, entre otros.

Las vulnerabilidades reportadas se componen de 6 (seis) de severidad “Alta”, 7 (siete) de severidad “Media”, 1 (uno) de severidad baja y 1 (una) sin severidad asignada aún. Las principales se detallan a continuación:

• CVE-2022-35243, de severidad “alta” y puntuación asignada de 8.7. Esta vulnerabilidad se debe a un error de autorización en BIG-IP cuando se ejecuta modo Appliance. Esto permitiría a un atacante autenticado con credenciales realizar escalamiento de privilegios, permitiéndole eludir las restricciones del modo Appliance mode.

• CVE-2022-35728, de severidad “alta” y puntuación asignada de 8.1. Esta vulnerabilidad se debe a un error de duración extendida del token REST de iControl cuando BIG-IP se ejecuta en modo Appliance. Esto permitiría a un atacante remoto realizar ejecución remota de código (RCE) en el sistema, permitiéndole crear, eliminar archivos o deshabilitar servicios en el sistema.

• CVE-2022-35245, de severidad “alta” y puntuación asignada de 7.5. Esta vulnerabilidad se debe a un error en la política de acceso BIG-IP APM en un servidor virtual relacionado al componente Microkernel de gestión de tráfico (TMM). Esto permitiría a un atacante provocar denegación de servicio (DoS) a través de la generación de tráfico del tipo undisclosed.

Puede acceder a la lista completa de vulnerabilidades aquí.

Algunos productos afectados son:

• 8.x anteriores a 8.2.0.
• BIG-IQ Centralized Management, versiones 7.x anteriores a 7.1.0.
• NGINX Ingress Controller, versiones 2.x anteriores a 2.3.0
• NGINX Ingress Controller, versiones 1.x anteriores a 1.12.4
• BIG-IP (all modules), versiones 17.x anteriores a 17.0.0.1
• BIG-IP (all modules), versiones 16.x anteriores a 16.1.31
• BIG-IP (all modules), versiones 15.x anteriores a 15.1.6.1
• BIG-IP (all modules), versiones 13.x anteriores a 13.1.5

recomendamos acceder a las actualizaciones proporcionadas por F5 siguiendo las indicaciones en los siguientes enlaces:

• BIG-IQ Centralized Management
• NGINX Ingress Controller
• BIG-IP

Referencias:

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1320/
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35243
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35728
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35245
• https://support.f5.com/csp/article/K51342220#:~:text=Under%20F5%20Product%20Family%2C%20in%20the%20BIG-IQ%20section%2C,to%20upgrade%20to.%20Under%20Name%2C%20select%20the%20release.
• https://kubernetes.github.io/ingress-nginx/deploy/upgrade/
• https://www.f5.com/services/support