Vulnerablidades de alto impacto en BIG-IP y BIG-IQ

18/11/2022
Importancia
Alta
Etiquetas
vulnerabilidad

El proveedor de seguridad F5 ha publicado revisiones para dos vulnerabilidades, CVE-2022-41622 y CVE-2022-41800, que afectan a sus dispositivos de red BIG-IP y BIG-IQ y que podrían resultar en la ejecución remota de código (RCE) y en el bypass de las restricciones del modo Dispositivo respectivamente. Desde la compañía se ha asignado al más grave de los fallos, con el identificador CVE-2022-41622, una puntuación CVSS de 8.8 con una severidad alta. El segundo, con identificador CVE-2022-41800, tiene una puntuación CVSS de 8.7 y también severidad alta.

Recursos afectados:

  • Todos los módulos de BIG IP, versiones 17.0.0, 16.1.0 a 16.1.3, 15.1.0 a 15.1.8, 14.1.0 a 14.1.5, 13.1.0 a 13.1.5
  • BIG-IQ Centralized Management, versiones 8.0.0 a 8.2.0, 7.1.0 (solo para la vulnerabilidad con identificador CVE-2022-41622)

Solución:

Para la mitigación de estas vulnerabilidades, desde el BCSC se recomienda tener siempre los sistemas y aplicaciones actualizadas a la última versión disponible en cuanto se publiquen las actualizaciones correspondientes.

Para mitigar el fallo CVE-2022-41622 se puede usar un navegador web único y aislado al administrar el sistema BIG-IP o BIG-IQ, teniendo en cuenta que un ataque no se puede prevenir si se ha autenticado en iControl SOAP en el navegador web con autenticación básica. Este mecanismo de autenticación es poco común y es diferente al uso de la página de inicio de sesión para la utilidad de configuración. Desde F5 se recomienda no autenticarse con la autenticación básica en el navegador web. Si aparece una ventana de autenticación para la autenticación básica en el navegador web, no se deben proporcionar las credenciales.

Se recomienda seguir las mejores prácticas para asegurar el acceso a la interfaz de administración y las propias direcciones IP de los sistemas BIG-IP y BIG-IQ, lo que ayudará a minimizar la superficie de ataque. La información detallada se encuentra en el aviso de seguridad ofrecido.

Sobre a la vulnerabilidad CVE-2022-41800, desde F5 se establece que hasta que pueda instalar una versión fija, pueden consultarse en el aviso de seguridad una serie de mitigaciones temporales. Estas mitigaciones restringen el acceso a iControl REST solo a redes o dispositivos confiables, lo que limita la superficie de ataque. El atacante debe tener credenciales válidas para una cuenta administrativa con muchos privilegios, por lo tanto, restringir el acceso aún puede dejar el dispositivo expuesto al riesgo de un movimiento interno malicioso o lateral de otro dispositivo comprometido dentro del rango confiable.