Múltiples vulnerabilidades en productos de F5

Descripción

Se han identificado 4 vulnerabilidades en varios productos de F5, todas con severidad crítica, de tipo desbordamiento de búfer y ejecución remota de comandos.

Un atacante, con acceso a los servidores web del backend, podría enviar una respuesta HTTP, especialmente diseñada, al servidor virtual Advanced WAF/ASM y generar un desbordamiento de búfer, lo que posibilitaría ataques de denegación de servicio (DoS) o de ejecución remota de código (RCE). Se ha asignado el identificador CVE-2021-22992 para esta vulnerabilidad.

Un atacante no autenticado, con acceso de red de la interfaz iControl REST, podría aprovechar una vulnerabilidad de tipo RCE para ejecutar comandos arbitrarios del sistema, crear/modificar archivos y deshabilitar servicios. Se ha asignado el identificador CVE-2021-22986 para esta vulnerabilidad.

Un atacante autenticado, con acceso de red a Traffic Management User Interface (TMUI) y ejecutando en modo Appliance, podría aprovechar una vulnerabilidad de tipo RCE en páginas no publicadas para ejecutar comandos arbitrarios del sistema, crear/modificar archivos y deshabilitar servicios. Se ha asignado el identificador CVE-2021-22987 para esta vulnerabilidad.

Algunas solicitudes a un servidor virtual podrían ser gestionadas incorrectamente durante el proceso de normalización de la URI en Traffic Management Microkernel (TMM), lo que podría desencadenar un desbordamiento de búfer, dando lugar a un ataque DoS. En ciertas situaciones, podría permitir eludir el control de acceso basado en URL o realizar un RCE. Se ha asignado el identificador CVE-2021-22991 para esta vulnerabilidad.

Recursos afectados

  • BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO), versiones:
    – 16.0.0 – 16.0.1
    – 15.1.0 – 15.1.2
    – 14.1.0 – 14.1.3
    – 13.1.0 – 13.1.3
    – 12.1.0 – 12.1.5
    – 11.6.1 – 11.6.5
  • BIG-IQ Centralized Management, versiones:
    – 7.1.0 y 7.0.0
    – 6.0.0 – 6.1.0

Solución

Actualizar los productos afectados a las siguientes versiones:

  • BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO):
    – 16.0.1.1
    – 15.1.2.1
    – 14.1.4
    – 13.1.3.6
    – 12.1.5.3
    – 11.6.5.3
  • BIG-IQ Centralized Management:
    – 8.0.0
    – 7.1.0.3 o 7.0.0.2

Referencias

K52510511: Advanced WAF/ASM buffer-overflow vulnerability CVE-2021-22992
K03009991: iControl REST unauthenticated remote command execution vulnerability CVE-2021-22986
K18132488: Appliance mode TMUI authenticated remote command execution vulnerability CVE-2021-22987
K56715231: TMM buffer-overflow vulnerability CVE-2021-22991

Artículos relacionados

Etiqueta Seresco