9VSA22-00629-01 CSIRT alerta de vulnerabilidad crítica en BIG-IP de F5

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, CSIRT de Gobierno, comparte información sobre una nueva vulnerabilidad crítica conocida para el producto BIG-IP de F5.

Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.

Vulnerabilidades

CVE-2022-1388

Impacto

Vulnerabilidades críticas

CVE-2022-1388: Esta vulnerabilidad surge de un error en la interfaz REST del iControl framework, usado para comunicarse entre aparatos F5 y los usuarios. La vulnerabilidad puede permitir a un atacante no autenticado con acceso de red a un sistema BIG-IP a través de un puerto de administración o un self-IP address (direcciones IP en un sistema BIG-IP, usadas para asociarse con VLAN), la ejecución arbitraria de comandos, crear o borrar archivos, o deshabilitar servicios.

Productos afectados

BIG-IP, versiones:

16.1.0 a 16.1.2

15.1.0 a 15.1.5

14.1.0 a 14.1.4

13.1.0 a 13.1.4

12.1.0 a 12.1.6 (no serán parchados)

11.6.1 a 11.6.5 (no serán parchados)

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Enlaces

https://support.f5.com/csp/article/K23605346

https://www.cisa.gov/uscert/ncas/current-activity/2022/05/04/f5-releases-security-advisories-addressing-multiple

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1388

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA22-00629-01.