Cabecera-v2-web.jpg

Múltiples vulnerabilidades de riesgo alto, medio y bajo en productos de F5



Investigadores de seguridad han descubierto 10 vulnerabilidades que afectan a los dispositivos de red F5 BIG-IP. De estos fallos, 4 han sido catalogados de riesgo alto, 5 de riesgo medio y 2 de riesgo bajo. La explotación exitosa de estas vulnerabilidades permitirá a un atacante realizar ataques de denegación de servicios (DoS), sobreescribir archivos arbitrarios del sistema o ejecutar código.

Productos Afectados:

BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO) en versiones:

  • 15.1.0, 15.0.0 a 15.0.1;
  • 14.1.0 - 14.1.2
  • 13.1.0 - 13.1.3
  • 12.1.0 - 12.1.5
  • 11.6.1 - 11.6.5

A continuación se describen las vulnerabilidades de riesgo alto:

El CVE-2020-5912, afecta al componente restjavad de los dispositivos BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO) y se da debido a que el comando process dump no aplica las mejores prácticas de codificación actuales llevando a una posible sobreescritura de archivos. La explotación exitosa de este fallo permitiría a un atacante local sobreescribir archivos arbitrarios del sistema.

Mientras que, el CVE-2020-5922, afecta al componente iControl REST de BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO) y se da debido a que no se implementan protecciones contra vulnerabilidades de tipo CSRF (Cross-Site Request Forgery) cuando un usuario realiza una autenticación básica en un navegador web. La explotación exitosa de este fallo permitiría a un atacante remoto ejecutar Javascript arbitrario en el concepto del usuario víctima, y en caso de que la misma sea un usuario administrativo con acceso al Advanced Shell (bash), el atacante podría comprometer el sistema.

Por otro lado, el CVE-2020-5914, afecta al proceso bd de BIG-IP ASM y se da debido a que el proceso bd se reinicia bajo ciertas circunstancias no especificadas, involucradas con las cookies del servidor. La explotación exitosa de este fallo permitiría a un atacante remoto realizar ataques de denegación de servicios (DoS) en el sistema afectado.

El CVE-2020-5926, afecta a los dispositivos BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) con un perfil Session Initiation Protocol (SIP) ALG configurado; y se da durante el análisis de mensajes SIP que contienen payloads MIME de varias partes con ciertas cadenas límite, que podrían provocar la liberación de memoria en la caché incorrecta. La explotación exitosa de este fallo permitiría a un atacante remoto corromper la memoria y provocar una condición de denegación de servicios (DoS).

El CVE-2020-5913, afecta al componente SSL profile de los servidores BIG-IP y se da debido a que el sistema no aplica correctamente las restricciones de las cadenas de certificados TLS (Transport Layer Security), esto permitiría a un atacante remoto realizar ataques man-in-the-middle en conexiones del lado del servidor. Este fallo afecta únicamente a los servidores con el componente SSL Profile activado y configurado con el CRL (Certificate Revocation List) y un certificado revocado válido.

Finalmente el CVE-2020-5921, afecta al componente mcpd de BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) y se da debido a que la inundación SYN provoca una gran cantidad de mensajes mcpd destinados a blades secundarios, los cuales llevan a un gran consumo de memoria y consecuentemente a fallas en el componente mcpd. Este fallo afecta solamente a los hosts VIPRION con dos o más blades instaladas. La explotación exitosa de este fallo permitiría a un atacante remoto provocar que el proceso mcpd consuma una gran cantidad de memoria llevando a tiempos de respuesta lentos y eventualmente al fallo.

Además, fueron abordadas también vulnerabilidades de riesgo medio y bajo, que afectan a los productos:

  • BIG-IQ Centralized Management en versiones 7.0.0, 6.0.0 a 6.10 y 5.4.0;
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM)

Algunas de las más resaltantes son:

Fallos de riesgo medio que permitirían a un atacante remoto realizar ataques de denegación de servicios (DoS) en los dispositivos BIG-IP (CVE-2020-5924, CVE-2020-5925). Una vulnerabilidad de riesgo medio que permitiría a un atacante remoto leer archivos arbitrarios (CVE-2020-5916) y un fallo que permitiría realizar ataques Man-in-the-middle a los sistemas BIG-IP (CVE-2020-5917). Finalmente, un fallo de riesgo bajo de tipo Blind SQL Injection en BIG-IP (CVE-2020-5920) que permitiría a un atacante remoto extraer nombres de tablas y cuentas de usuario.

Recomendaciones:

  • Actualizar los productos afectados desde la página de descarga de F5, a las siguientes versiones:
    • 16.0.0;
    • 15.1.0.5;
    • 15.0.1.4;
    • 14.1.2.7;
    • 12.1.5.2.
  • En caso de ser posible actualización, se recomienda como medidas de mitigación:
    • Utilizar características alternativas de BIG-IP AFM y LTM para evitar los ataques de inundación SYN (los detalles de esto se encuentran disponibles en el apartado “Mitigation”, del aviso de seguridad de F5)
    • Evitar utilizar el método iControl REST para la autenticación básica a través del navegador web, sin embargo en caso de ser necesario su uso F5 recomienda:
      • Cuando se termine, cerrar sesión inmediatamente cerrando todas las instancias del navegador web donde se aplicó iControl REST,
      • No permitir que el navegador web guarde nombres de usuarios y contraseñas para iControl REST,
      • No utilizar el mismo navegador utilizado con iControl REST para otros propósitos, como navegar por internet. En caso de ser necesario, hacerlo en navegadores separados.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11