9VSA22-00629-01 CSIRT alerta de vulnerabilidad crítica en BIG-IP de F5
El CSIRT de Gobierno comparte información sobre una nueva vulnerabilidad crítica conocida para el producto BIG-IP de F5.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, CSIRT de Gobierno, comparte información sobre una nueva vulnerabilidad crítica conocida para el producto BIG-IP de F5.
Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.
Vulnerabilidades
CVE-2022-1388
Impacto
Vulnerabilidades críticas
CVE-2022-1388: Esta vulnerabilidad surge de un error en la interfaz REST del iControl framework, usado para comunicarse entre aparatos F5 y los usuarios. La vulnerabilidad puede permitir a un atacante no autenticado con acceso de red a un sistema BIG-IP a través de un puerto de administración o un self-IP address (direcciones IP en un sistema BIG-IP, usadas para asociarse con VLAN), la ejecución arbitraria de comandos, crear o borrar archivos, o deshabilitar servicios.
Productos afectados
BIG-IP, versiones:
16.1.0 a 16.1.2
15.1.0 a 15.1.5
14.1.0 a 14.1.4
13.1.0 a 13.1.4
12.1.0 a 12.1.6 (no serán parchados)
11.6.1 a 11.6.5 (no serán parchados)
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor.
Enlaces
https://support.f5.com/csp/article/K23605346
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/04/f5-releases-security-advisories-addressing-multiple
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1388
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA22-00629-01.