Compartir:

Facebook Twitter Mastodon Telegram Twitter WhatsApp

9VSA21-00408-01 CSIRT advierte vulnerabilidades en BIG-IP de F5

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte información sobre nuevas vulnerabilidades dadas a conocer por F5 sobre sus productos BIG-IP. Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.

9VSA21-00408-01.png

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte información sobre nuevas vulnerabilidades dadas a conocer por F5 sobre sus productos BIG-IP.

Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.

Vulnerabilidades

CVE-2021-22987

CVE-2021-22988

CVE-2021-22990

CVE-2021-22992

CVE-2021-23000

CVE-2021-23003

Impactos

CVE-2021-22988 es una vulnerabilidad considerada como de riesgo alto. Permite a un usuario remoto ejecutar comandos de shell arbitrarios en el sistema objetivo, y puede resultar en el compromiso completo del sistema vulnerable. La vulnerabilidad existe debido a una validación inadecuada de la información ingresada dentro del Traffic Management User Interface (TMUI).

CVE-2021-22992 es una vulnerabilidad considerada como de riesgo alto. Permite a un atacante remoto ejecutar código arbitrario en el sistema objetivo. La vulnerabilidad existe debido a un error de límites de memoria al procesar respuestas HTTP. Un atacante remoto puede crear una respuesta HTTP especialmente diseñada a un servidor virtual Advanced WAF/ASM con Login Pace configurado en sus políticas, detonar corrupción de memoria y ejecutar código arbitrario en el sistema objetivo.

Las demás vulnerabilidades son consideradas de riesgo medio.

Productos Afectados

BIG-IP, versiones de la 11.6.1 a la 16.0.1.

Mitigación

Instalar las respectivas actualizaciones desde el sitio web del proveedor.

Enlaces

https://support.f5.com/csp/article/K18132488

https://support.f5.com/csp/article/K70031188

https://support.f5.com/csp/article/K45056101

https://support.f5.com/csp/article/K34441555

https://support.f5.com/csp/article/K52510511

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22988

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22989

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22990

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00408-01.