Múltiples vulnerabilidades en varios productos de F5

Fecha de publicación 11/03/2021
Importancia
5 - Crítica
Recursos Afectados
  • BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO), versiones:
    • 16.0.0 - 16.0.1;
    • 15.1.0 - 15.1.2;
    • 14.1.0 - 14.1.3;
    • 13.1.0 - 13.1.3;
    • 12.1.0 - 12.1.5;
    • 11.6.1 - 11.6.5.
  • BIG-IQ Centralized Management, versiones:
    • 7.1.0 y 7.0.0;
    • 6.0.0 - 6.1.0.
Descripción

Se han identificado 4 vulnerabilidades en varios productos de F5, todas con severidad crítica, de tipo desbordamiento de búfer y ejecución remota de comandos.

Solución

Actualizar los productos afectados a las siguientes versiones:

  • BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO):
    • 16.0.1.1;
    • 15.1.2.1;
    • 14.1.4;
    • 13.1.3.6;
    • 12.1.5.3;
    • 11.6.5.3.
  • BIG-IQ Centralized Management:
    • 8.0.0;
    • 7.1.0.3 o 7.0.0.2.
Detalle
  • Un atacante, con acceso a los servidores web del backend, podría enviar una respuesta HTTP, especialmente diseñada, al servidor virtual Advanced WAF/ASM y generar un desbordamiento de búfer, lo que posibilitaría ataques de denegación de servicio (DoS) o de ejecución remota de código (RCE). Se ha asignado el identificador CVE-2021-22992 para esta vulnerabilidad.
  • Un atacante no autenticado, con acceso de red de la interfaz iControl REST, podría aprovechar una vulnerabilidad de tipo RCE para ejecutar comandos arbitrarios del sistema, crear/modificar archivos y deshabilitar servicios. Se ha asignado el identificador CVE-2021-22986 para esta vulnerabilidad.
  • Un atacante autenticado, con acceso de red a Traffic Management User Interface (TMUI) y ejecutando en modo Appliance, podría aprovechar una vulnerabilidad de tipo RCE en páginas no publicadas para ejecutar comandos arbitrarios del sistema, crear/modificar archivos y deshabilitar servicios. Se ha asignado el identificador CVE-2021-22987 para esta vulnerabilidad.
  • Algunas solicitudes a un servidor virtual podrían ser gestionadas incorrectamente durante el proceso de normalización de la URI en Traffic Management Microkernel (TMM), lo que podría desencadenar un desbordamiento de búfer, dando lugar a un ataque DoS. En ciertas situaciones, podría permitir eludir el control de acceso basado en URL o realizar un RCE. Se ha asignado el identificador CVE-2021-22991 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
K52510511: Advanced WAF/ASM buffer-overflow vulnerability CVE-2021-22992
K03009991: iControl REST unauthenticated remote command execution vulnerability CVE-2021-22986
K18132488: Appliance mode TMUI authenticated remote command execution vulnerability CVE-2021-22987
K56715231: TMM buffer-overflow vulnerability CVE-2021-22991
Etiquetas