Alerta de Seguridad Cibernética | Vulnerabilidad BIG-IP de F5

Pueden descargar esta información en formato PDF aquí: 10CND22-00065-01 Comunicado Vulnerabilidad F5.

ALERTA DE SEGURIDAD CIBERNÉTICA

El CSIRT de Gobierno advierte sobre una vulnerabilidad crítica en el producto BIG-IP de F5, rastreada como CVE-2022-1388. Según lo informado por F5, esta falla surge de un error en la interfaz REST del iControl framework, usado para comunicarse entre aparatos F5 y los usuarios. La vulnerabilidad puede permitir a un atacante no autenticado con acceso de red a un sistema BIG-IP a través de un puerto de administración o un self-IP address (direcciones IP en un sistema BIG-IP, usadas para asociarse con VLAN), la ejecución arbitraria de comandos, crear o borrar archivos, o deshabilitar servicios.

Los productos afectados son:

BIG-IP versiones 16.1.0 a 16.1.2

BIG-IP versiones 15.1.0 a 15.1.5

BIG-IP versiones 14.1.0 a 14.1.4

BIG-IP versiones 13.1.0 a 13.1.4

BIG-IP versiones 12.1.0 a 12.1.6 (no serán parchados)

BIG-IP versiones 11.6.1 a 11.6.5 (no serán parchados)

El CSIRT de Gobierno recomienda actualizar a la brevedad las versiones vulnerables de BIG-IP del proveedor F5. El informe con las respectivas mitigaciones está disponible aquí:

https://www.csirt.gob.cl/vulnerabilidades/9vsa22-00629-01/

En caso de no poder aplicar las actualizaciones correspondientes, F5 recomienda: 

• Bloquear todos los accesos a la interfaz REST iControl del sistema BIG-IP, a través de direcciones IP propias.
• Restringir el acceso solo a usuarios y dispositivos de confianza a través de la interfaz de administración.
• Modificar la configuración httpd de BIG-IP.

Más información aquí: https://support.f5.com/csp/article/K23605346.