Vulnerabilitats crítiques en BIG-IP i BIG-IQ de F5

Dia 10 de març de 2021, s’han posat pegats a diverses vulnerabilitats per al software BIG-IP i BIG-IQ d’F5 [2]. Entre les vulnerabilitats s’inclou una d’execució de codi remot sense autenticació [1].

ANÀLISI
S’han corregit un total de set vulnerabilitats, quatre de les quals han estat crítiques. Les vulnerabilitats s’han corregit en les versions de BIG-IP 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3, i 11.6.5.3. Les vulnerabilitats són les que s’indiquen tot seguit:

    • CVE-2021-22986 (CVSS score: 9.8) [3]: la interfície REST d’iControl té una vulnerabilitat d’execució de codi remot sense autenticació. 
    • CVE-2021-22987 (CVSS score: 9.9 )[4]: durant l’execució en manera Appliance, la Interfície d’Usuari de Gestió de Trànsit (TMUI), també referida com a utilitat de Configuració, conté una vulnerabilitat d’execució de codi remot amb autenticació en pàgines no publicades.
    • CVE-2021-22988 (CVSS score: 8.8)[5]: TMUI, té una segona vulnerabilitat d’execució de codi remot amb autenticació en pàgines no publicades.
    • CVE-2021-22989 (CVSS score: 8.0)[6]: durant l’execució en manera Appliance amb el firewall web avançat (Advanced WAF) o proveïdor ASM BIG-IP, la TMUI (utilitat de configuració) té una altra vulnerabilitat més d’execució de codi remot amb autenticació en pàgines no publicades.
    • CVE-2021-22990 (CVSS score: 6.6)[7]: durant l’execució en manera Appliance amb el firewall web avançat (Advanced WAF) o proveïdor ASM BIG-IP, la TMUI (utilitat de configuració) té de nou una altra vulnerabilitat d’execució de codi remot amb autenticació en pàgines no publicades.
    • CVE-2021-22991 (CVSS score: 9.0)[8]: algunes peticions a servidors virtuals les pot processar de manera incorrecta el Traffic Management Mikrokernel (TMM), que podria causar un desbordament de buffer i acabar en un atac de denegació de servei. En situacions específiques, també podria permetre fer la volta del control d’accés basat en URL, o execució de codi remot.
    • CVE-2021-22992 (CVSS score: 9.0)[9]: una resposta HTTP maliciosa cap a un WAF avançat o un servidor BIG-IP ASM amb una pàgina d’inici de sessió podria disparar un desbordament de buffer i acabar en un atac de denegació de servei. En situacions específiques, també podria permetre execució de codi remot, i acabar en el compromís total del sistema.

El CVE-2021-22986 d’execució de codi remot sense autenticació també afecta la BIG-IQ (solució d’administració de dispositius BIG-IP), i ha sigut corregit en les versions 8.0.0, 7.1.0.3, i 7.0.0.2.

L’explotació reeixida de les vulnerabilitats d’execució de codi remot podrien donar lloc al compromís total dels sistemes, incloent-hi la intercepció de trànsit i el moviment lateral a través de la xarxa.

RECOMANACIONS
Actualitzar els sistemes BIG-IP i BIG-IQ a una versió corregida al més aviat possible [10].

REFERÈNCIES

[1] https://www.bleepingcomputer.com/news/security/f5-urges-customers-to-patch-critical-big-ip-pre-auth-rce-bug/
[2] https://support.f5.com/csp/article/K02566623
[3] https://support.f5.com/csp/article/K03009991
[4] https://support.f5.com/csp/article/K18132488
[5] https://support.f5.com/csp/article/K70031188
[6] https://support.f5.com/csp/article/K56142644
[7] https://support.f5.com/csp/article/K45056101
[8] https://support.f5.com/csp/article/K56715231
[9] https://support.f5.com/csp/article/K52510511
[10] https://support.f5.com/csp/article/K84205182