9VSA22-00731-01 CSIRT comparte vulnerabilidades en productos de F5

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT de Gobierno, comparte información sobre nuevas vulnerabilidades comunicadas por F5.

Vulnerabilidades

CVE-2022-36795

CVE-2022-41617

CVE-2022-41624

CVE-2022-41691

CVE-2022-41694

CVE-2022-41741

CVE-2022-41742

CVE-2022-41743

CVE-2022-41770

CVE-2022-41780

CVE-2022-41787

CVE-2022-41806

CVE-2022-41813

CVE-2022-41832

CVE-2022-41833

CVE-2022-41835

CVE-2022-41836

CVE-2022-41983

Impacto

Vulnerabilidades de riesgo crítico

CVE-2022-41617: Ejecución remota de código autenticado en la interfaz BIG-IP iControl REST.

Productos afectados

BIG-IP (Advanced WAF, ASM) 14.1.5

BIG-IP (Advanced WAF, ASM) 16.1.0 – 16.1.2

BIG-IP (Advanced WAF, ASM) 16.1.0 – 16.1.3

BIG-IP (Advanced WAF, ASM) 17.0.0

BIG-IP (AFM) 16.1.0 – 16.1.3

BIG-IP (AFM, PEM) 16.1.0 – 16.1.3

BIG-IP (todos los módulos) 13.1.0 – 13.1.5

BIG-IP (todos los módulos) 16.1.0 – 16.1.2

BIG-IP (todos los módulos) 16.1.0 – 16.1.3

BIG-IP (todos los módulos) 17.0.0

BIG-IP (DNS, LTM con licencia DNS Services) 17.0.0

BIG-IQ Centralized Management 8.0.0 – 8.2.0

F5OS-A 1.0.0 – 1.0.1

F5OS-C 1.1.0 – 1.3.2

F5OS-C 1.3.0 – 1.3.2

NGINX App Protect WAF 3.0.0 – 3.11.0

NGINX Ingress Controller 2.0.0 – 2.4.0

NGINX Open Source 1.23.0 – 1.23.1

NGINX Plus R22 – R27

R1 P1

R2 P1

R26 P1

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Enlaces

https://support.f5.com/csp/article/K30425568

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-36795

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41617

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41624

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41691

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41694

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41741

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41742

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41743

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41770

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41780

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41787

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41806

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41813

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41832

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41833

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41835

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41836

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41983

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA22-00731-01.