Ciberseguridad: Aviso de vulnerabilidades F5

Estimados Clientes,

El equipo de Ciberseguridad de Netglobalis informa que F5 generó un nuevo aviso de seguridad que aborda múltiples fallos relacionados con BIG-IP, WAF y ASM entre otros.

De las vulnerabilidades descubiertas 13 son de severidad alta, 15 de severidad media y 1 vulnerabilidad de severidad baja.

Un atacante podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.

Por tanto, se recomienda a los usuarios y administradores revisar las siguientes afectaciones y aplicar las actualizaciones necesarias:

Afectaciones:

Severidad Alta

CVE-2021-23025 vulnerabilidad TMUI de BIG-IP

Existe una vulnerabilidad de ejecución remota de comandos autenticados en la utilidad de configuración BIG-IP la cual recibe una puntuación CVSS: 7,2 (alta).

CVE-2021-23026 vulnerabilidad de SOAP de iControl

BIG-IP y BIG-IQ son vulnerables a los ataques de falsificación de solicitudes entre sitios (CSRF) a través de iControl SOAP la cual recibe una puntuación CVSS: 7.5 (alto)

CVE-2021-23027 vulnerabilidad de TMUI XSS 

Existe una vulnerabilidad de secuencias de comandos de sitios cruzados (XSS) basada en DOM en una página no revelada de la utilidad de configuración BIG-IP que permite a un atacante ejecutar JavaScript en el contexto del usuario actualmente conectado, la cual recibe una puntuación de CVSS: 7.5 (alto).

CVE-2021-23028 BIG-IP Advanced WAF y vulnerabilidad ASM 

Cuando los perfiles de contenido JSON se configuran para URL como parte de una política de seguridad F5 Advanced Web Application Firewall (WAF) / BIG-IP ASM y se aplican a un servidor virtual, las solicitudes no divulgadas pueden hacer que el proceso bd de BIG-IP ASM finalice, la cual recibe una puntuación de CVSS: 7.5 (alto).

CVE-2021-23029 BIG-IP Advanced WAF y ASM TMUI vulnerabilidad 

Las comprobaciones de permisos insuficientes pueden permitir a los usuarios autenticados con privilegios de invitado realizar ataques de Falsificación de solicitudes del lado del servidor (SSRF) a través de F5 Advanced Web Application Firewall (WAF) y la utilidad de configuración BIG-IP ASM, la cual recibe una puntuación de CVSS: 7.5 (alto).

CVE-2021-23030 BIG-IP Advanced WAF y ASM Websocket vulnerabilidad 

Cuando se configura un perfil de WebSocket en un servidor virtual, las solicitudes no reveladas pueden hacer que bd finalice, la cual recibe una puntuación de CVSS: 7.5 (alto).

CVE-2021-23031 BIG-IP Advanced WAF y ASM TMUI vulnerabilidad 

Un usuario autenticado puede realizar una escalada de privilegios en BIG-IP Advanced WAF y ASM TMUI, mediante la ejecución de comandos arbitrarios en el sistema, crear o eliminar archivos y / o deshabilitar servicios. Esta vulnerabilidad puede resultar en un compromiso total del sistema por lo que recibe una puntuación de CVSS: 8,8 (alta) / 9,9 (solo en modo de dispositivo).

CVE-2021-23032 Vulnerabilidad de DNS de BIG-IP 

Cuando un sistema DNS BIG-IP está configurado con configuraciones de grupo y IP amplia no predeterminadas, las respuestas de DNS no reveladas pueden hacer que el Microkernel de administración de tráfico (TMM) termine, la cual recibe una puntuación de CVSS: 7.5 (alto).

CVE-2021-23033 BIG-IP Advanced WAF y ASM Websocket vulnerabilidad 

Cuando se configura un perfil de WebSocket en un servidor virtual, las solicitudes no reveladas pueden hacer que bd finalice, la cual recibe una puntuación de CVSS: 7.5 (alto).

CVE-2021-23034 Vulnerabilidad de BIG-IP TMM 

Cuando se configura un perfil de DNS que utiliza un solucionador de caché de DNS en un servidor virtual, las solicitudes no divulgadas pueden hacer que finalice el proceso de Traffic Management Microkernel (TMM), la cual recibe una puntuación de CVSS: 7.5 (alto).

CVE-2021-23035 Vulnerabilidad de TMM 

Cuando se configura un perfil HTTP en un servidor virtual, después de una secuencia específica de paquetes, las respuestas fragmentadas pueden hacer que el Microkernel de administración de tráfico (TMM) termine, la cual recibe una puntuación de CVSS: 7.5 (alto).

CVE-2021-23036 Vulnerabilidad de TMM 

Cuando se configura un perfil BIG-IP ASM y DataSafe en un servidor virtual, las solicitudes no reveladas pueden hacer que el Microkernel de administración de tráfico (TMM) termine, la cual recibe una puntuación de CVSS: 7.5 (alto).

CVE-2021-23037 Vulnerabilidad de TMUI XSS 

Existe una vulnerabilidad reflejada de secuencias de comandos entre sitios (XSS) en una página no revelada de la utilidad de configuración BIG-IP que permite a un atacante ejecutar JavaScript en el contexto del usuario actualmente conectado, la cual recibe una puntuación de CVSS: 7.5 (alto).

Severidad Media

CVE-2021-23038 Vulnerabilidad de BIG-IP TMUI XSS 

Existe una vulnerabilidad almacenada de secuencias de comandos entre sitios (XSS) en una página no revelada de la utilidad de configuración BIG-IP que permite a un atacante ejecutar JavaScript en el contexto del usuario que ha iniciado sesión actualmente, la cual recibe una puntuación de CVSS: 6,8 (media).

CVE-2021-23039 Vulnerabilidad de TMM 

Cuando IPSec se configura en un sistema BIG-IP, las solicitudes no reveladas de un par remoto autorizado (IPSec), que ya tiene una Asociación de seguridad negociada, pueden hacer que el Microkernel de administración de tráfico (TMM) termine, la cual recibe una puntuación de CVSS: 6,5 (medio).

CVE-2021-23040 Vulnerabilidad de AFM BIG-IP 

Existe una vulnerabilidad de inyección SQL en una página no revelada de la utilidad de configuración BIG-IP. Este problema se expone sólo cuando se aprovisiona BIG-IP AFM, la cual recibe una puntuación de CVSS: 5,4 (media).

CVE-2021-23041 Vulnerabilidad TMUI de BIG-IP 

Existe una vulnerabilidad de secuencias de comandos entre sitios (XSS) basada en DOM en una página no revelada de la utilidad de configuración BIG-IP que permite a un atacante ejecutar JavaScript en el contexto del usuario que ha iniciado sesión actualmente, la cual recibe una puntuación de CVSS: 4,7 (media).

CVE-2021-23042 Vulnerabilidad HTTP BIG-IP 

Cuando se configura un perfil HTTP en un servidor virtual, las solicitudes no reveladas pueden provocar un aumento significativo en la utilización de recursos del sistema, la cual recibe una puntuación de CVSS: 5,3 (media).

CVE-2021-23043 Vulnerabilidad TMUI de BIG-IP 

Existe una vulnerabilidad de cruce de directorio en una página no revelada de la utilidad de configuración BIG-IP que permite a un atacante acceder a archivos arbitrarios, la cual recibe una puntuación de CVSS: 4,3 (media).

CVE-2021-23044 Vulnerabilidad del controlador de compresión BIG-IP 

Cuando el controlador de compresión Intel QuickAssist Technology (QAT) se utiliza en el hardware BIG-IP afectado y las plataformas BIG-IP Virtual Edition (VE), el tráfico no revelado puede hacer que el Traffic Management Microkernel (TMM) termine, la cual recibe una puntuación de CVSS: 5,9 (media).

CVE-2021-23045 Vulnerabilidad SCTP de TMM 

Cuando se configura un perfil SCTP con múltiples rutas en un servidor virtual, las solicitudes no reveladas pueden hacer que el Microkernel de administración de tráfico (TMM) termine, la cual recibe una puntuación de CVSS: 5,3 (media).

CVE-2021-23046 Vulnerabilidad de registro de configuración guiada de acceso F5 

Cuando se crea y se implementa una configuración que contiene propiedades seguras desde Configuración guiada de acceso (AGC), las propiedades seguras se registran en registros con un nuevo nodo, la cual recibe una puntuación de CVSS: 4,9 (media).

CVE-2021-23047 Vulnerabilidad OCSP de BIG-IP APM 

Cuando BIG-IP APM realiza la verificación del Protocolo de estado de certificado en línea (OCSP) de un certificado que contiene Acceso a información de autoridad (AIA), las solicitudes no divulgadas pueden causar un aumento en el uso de la memoria, la cual recibe una puntuación de CVSS: 5,3 (media).

CVE-2021-23048 Vulnerabilidad de TMM GTP 

Cuando los comandos de iRules del Protocolo de túnel GPRS (GTP) o un perfil GTP se configuran en un servidor virtual, los mensajes GTP no revelados pueden hacer que el Microkernel de administración de tráfico (TMM) termine, la cual recibe una puntuación de CVSS: 5,9 (media).

CVE-2021-23049 iRules RESOLVER:summarize – Vulnerabilidad de fuga de memoria 

Cuando se usa el comando iRules RESOLVER :: summaryize en un servidor virtual, las solicitudes no reveladas pueden causar un aumento en la utilización de la memoria del Traffic Management Microkernel (TMM), lo que resulta en una condición de memoria insuficiente y una denegación de servicio (DoS), la cual recibe una puntuación de CVSS: 5,3 (media).

CVE-2021-23050 BIG-IP Advanced WAF y vulnerabilidad ASM 

Cuando se configura una política habilitada para la falsificación de solicitudes entre sitios (CSRF) en un servidor virtual, una respuesta HTML no divulgada puede hacer que finalice el proceso bd de BIG-IP ASM, la cual recibe una puntuación de CVSS: 5,9 (media).

CVE-2021-23051 Vulnerabilidad de AWS BIG-IP 

Cuando el controlador del Data Plane Development Kit (DPDK) / Elastic Network Adapter (ENA) se usa con BIG-IP en sistemas de Amazon Web Services (AWS), las solicitudes no reveladas pueden hacer que el Traffic Management Microkernel (TMM) finalice. Esto se debe a una solución incompleta para CVE-2020-5862, la cual recibe una puntuación de CVSS: 5,9 (media).

CVE-2021-23052 Vulnerabilidad de APM BIG-IP 

Existe una vulnerabilidad de redireccionamiento abierto en servidores virtuales habilitados con una política de acceso APM BIG-IP. Esta vulnerabilidad permite que un usuario malintencionado no autenticado cree un URI de redireccionamiento abierto, la cual recibe una puntuación de CVSS: 6,1 (media).

Severidad Baja

CVE-2021-23053 BIG-IP Advanced WAF y ASM vulnerabilidad de la base de datos MySQL

Cuando la función de protección de fuerza bruta de ASM / Adv WAF está habilitada en un servidor virtual y el servidor virtual está bajo ataque de fuerza bruta, la base de datos MySQL puede quedarse sin espacio en disco debido a la falta de límite de filas en tablas no reveladas en la base de datos MYSQL, la cual recibe una puntuación de CVSS: 3.7 (bajo).

Solución:

Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes

Para más información visite la siguiente fuente.

https://support.f5.com/csp/article/K50974556