Inicio / Alertas / La falla crítica RCE (CVSS 10) afecta a los servidores de seguridad de aplicaciones F5 BIG-IP

La falla crítica RCE (CVSS 10) afecta a los servidores de seguridad de aplicaciones F5 BIG-IP

Los investigadores de ciberseguridad emitieron hoy un aviso de seguridad advirtiendo a las empresas y gobiernos de todo el mundo que reparen de inmediato una vulnerabilidad de ejecución remota de código muy crítica que afecta a los dispositivos de red BIG-IP de F5 que ejecutan servidores de seguridad de aplicaciones.

La vulnerabilidad, asignada CVE-2020-5902 y calificada como crítica con un puntaje CVSS de 10 sobre 10, podría permitir a los atacantes remotos tomar el control completo de los sistemas objetivo, y eventualmente obtener vigilancia sobre los datos de la aplicación que administran.

Según Mikhail Klyuchnikov, un investigador de seguridad de Positive Technologies que descubrió el defecto y lo informó a F5 Networks, el problema reside en una utilidad de configuración llamada Traffic Management User Interface (TMUI) para el controlador de aplicaciones (ADC) BIG-IP.

BIG-IP ADC está siendo utilizado por grandes empresas, centros de datos y entornos de computación en la nube, lo que les permite implementar aceleración de aplicaciones, equilibrio de carga, modelado de tasas, descarga de SSL y firewall de aplicaciones web.

Vulnerabilidad de F5 BIG-IP ADC RCE (CVE-2020-5902)

Un atacante no autenticado puede explotar de forma remota esta vulnerabilidad enviando una solicitud HTTP creada con fines malintencionados al servidor vulnerable que aloja la utilidad de interfaz de usuario de gestión de tráfico (TMUI) para la configuración BIG-IP.

La explotación exitosa de esta vulnerabilidad podría permitir a los atacantes obtener el control total del administrador sobre el dispositivo, eventualmente haciéndolos hacer cualquier tarea que deseen en el dispositivo comprometido sin ninguna autorización.

f5 big-ip application security manager

“El atacante puede crear o eliminar archivos, deshabilitar servicios, interceptar información, ejecutar comandos del sistema arbitrarios y código Java, comprometer completamente el sistema y perseguir objetivos adicionales, como la red interna”, dijo Klyuchnikov.

“RCE en este caso es el resultado de fallas de seguridad en múltiples componentes, como uno que permite la explotación transversal del directorio”.

Hasta junio de 2020, más de 8,000 dispositivos han sido identificados en línea como expuestos directamente a Internet, de los cuales 40% reside en los Estados Unidos, 16% en China, 3% en Taiwán, 2.5% en Canadá e Indonesia y menos de 1% en Rusia, dice la firma de seguridad.

Sin embargo, Klyuchnikov también dice que la mayoría de las compañías que usan el producto afectado no permiten el acceso a la interfaz de configuración vulnerable a Internet.

Vulnerabilidad F5 BIG-IP ADC XSS (CVE-2020-5903)

Además de esto, Klyuchnikov también informó una vulnerabilidad XSS (asignada CVE-2020-5903 con un puntaje CVSS de 7.5) en la interfaz de configuración BIG-IP que podría permitir a los atacantes remotos ejecutar código JavaScript malicioso como usuario administrador registrado.

“Si el usuario tiene privilegios de administrador y acceso a Advanced Shell (bash), la explotación exitosa puede llevar a un compromiso total de BIG-IP a través de RCE”, dijo el investigador.

Versiones afectadas y actualizaciones de parches

Se recomienda a las empresas y administradores afectados que dependen de las versiones vulnerables de BIG-IP 11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x que actualicen sus dispositivos a las últimas versiones 11.6.5.2, 12.1 .5.2, 13.1.3.4, 14.1.2.6, 15.1.0.4 lo antes posible.

Además, se recomienda a los usuarios de nube pública como AWS (Amazon Web Services), Azure, GCP y Alibaba que cambien a las versiones BIG-IP Virtual Edition (VE) 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1. 2.6, 15.0.1.4 o 15.1.0.4, tan pronto como estén disponibles.

 

Vea También

Shopify Data Breach: dos empleados deshonestos robaron datos de clientes

La plataforma de comercio electrónico en línea Shopify anunció una violación de datos después de …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.