Se han reportado múltiples vulnerabilidades que afectan a productos BIG-IP, que podrían permitir a un atacante realizar denegación del servicio (DoS), escalamiento de privilegios, ejecutar códigos arbitrarios en el sistema, entre otros.
Las vulnerabilidades reportadas se componen de 6 (seis) de severidad “Alta”, 7 (siete) de severidad “Media”, 1 (uno) de severidad baja y 1 (una) sin severidad asignada aún. Las principales se detallan a continuación:
- CVE-2022-35243, de severidad “alta” y puntuación asignada de 8.7. Esta vulnerabilidad se debe a un error de autorización en BIG-IP cuando se ejecuta modo Appliance. Esto permitiría a un atacante autenticado con credenciales realizar escalamiento de privilegios, permitiéndole eludir las restricciones del modo Appliance mode.
- CVE-2022-35728, de severidad “alta” y puntuación asignada de 8.1. Esta vulnerabilidad se debe a un error de duración extendida del token REST de iControl cuando BIG-IP se ejecuta en modo Appliance. Esto permitiría a un atacante remoto realizar ejecución remota de código (RCE) en el sistema, permitiéndole crear, eliminar archivos o deshabilitar servicios en el sistema.
- CVE-2022-35245, de severidad “alta” y puntuación asignada de 7.5. Esta vulnerabilidad se debe a un error en la política de acceso BIG-IP APM en un servidor virtual relacionado al componente Microkernel de gestión de tráfico (TMM). Esto permitiría a un atacante provocar denegación de servicio (DoS) a través de la generación de tráfico del tipo undisclosed.
Puede acceder a la lista completa de vulnerabilidades aquí.
Algunos productos afectados son:
- 8.x anteriores a 8.2.0.
- BIG-IQ Centralized Management, versiones 7.x anteriores a 7.1.0.
- NGINX Ingress Controller, versiones 2.x anteriores a 2.3.0
- NGINX Ingress Controller, versiones 1.x anteriores a 1.12.4
- BIG-IP (all modules), versiones 17.x anteriores a 17.0.0.1
- BIG-IP (all modules), versiones 16.x anteriores a 16.1.31
- BIG-IP (all modules), versiones 15.x anteriores a 15.1.6.1
- BIG-IP (all modules), versiones 13.x anteriores a 13.1.5
recomendamos acceder a las actualizaciones proporcionadas por F5 siguiendo las indicaciones en los siguientes enlaces:
Referencias:
- https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1320/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35243
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35728
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35245
- https://support.f5.com/csp/article/K51342220#:~:text=Under%20F5%20Product%20Family%2C%20in%20the%20BIG-IQ%20section%2C,to%20upgrade%20to.%20Under%20Name%2C%20select%20the%20release.
- https://kubernetes.github.io/ingress-nginx/deploy/upgrade/
- https://www.f5.com/services/support