Descripción
Se han identificado 4 vulnerabilidades en varios productos de F5, todas con severidad crítica, de tipo desbordamiento de búfer y ejecución remota de comandos.
Un atacante, con acceso a los servidores web del backend, podría enviar una respuesta HTTP, especialmente diseñada, al servidor virtual Advanced WAF/ASM y generar un desbordamiento de búfer, lo que posibilitaría ataques de denegación de servicio (DoS) o de ejecución remota de código (RCE). Se ha asignado el identificador CVE-2021-22992 para esta vulnerabilidad.
Un atacante no autenticado, con acceso de red de la interfaz iControl REST, podría aprovechar una vulnerabilidad de tipo RCE para ejecutar comandos arbitrarios del sistema, crear/modificar archivos y deshabilitar servicios. Se ha asignado el identificador CVE-2021-22986 para esta vulnerabilidad.
Un atacante autenticado, con acceso de red a Traffic Management User Interface (TMUI) y ejecutando en modo Appliance, podría aprovechar una vulnerabilidad de tipo RCE en páginas no publicadas para ejecutar comandos arbitrarios del sistema, crear/modificar archivos y deshabilitar servicios. Se ha asignado el identificador CVE-2021-22987 para esta vulnerabilidad.
Algunas solicitudes a un servidor virtual podrían ser gestionadas incorrectamente durante el proceso de normalización de la URI en Traffic Management Microkernel (TMM), lo que podría desencadenar un desbordamiento de búfer, dando lugar a un ataque DoS. En ciertas situaciones, podría permitir eludir el control de acceso basado en URL o realizar un RCE. Se ha asignado el identificador CVE-2021-22991 para esta vulnerabilidad.
Recursos afectados
- BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO), versiones:
– 16.0.0 – 16.0.1
– 15.1.0 – 15.1.2
– 14.1.0 – 14.1.3
– 13.1.0 – 13.1.3
– 12.1.0 – 12.1.5
– 11.6.1 – 11.6.5 - BIG-IQ Centralized Management, versiones:
– 7.1.0 y 7.0.0
– 6.0.0 – 6.1.0
Solución
Actualizar los productos afectados a las siguientes versiones:
- BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO):
– 16.0.1.1
– 15.1.2.1
– 14.1.4
– 13.1.3.6
– 12.1.5.3
– 11.6.5.3 - BIG-IQ Centralized Management:
– 8.0.0
– 7.1.0.3 o 7.0.0.2