Este miércoles, especialistas de la firma tecnológica F5 Networks publicaron un informe detallado sobre el hallazgo de 25 vulnerabilidades en algunos de sus productos. Según los reportes, la explotación exitosa de estas fallas podría conducir a diversas variantes de hacking, incluyendo ataques de scripts entre sitios (XSS) y denegación de servicio (DoS).
A continuación se muestran breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS). Las fallas residen principalmente en diversas versiones de NGINX Controller API Management, BIG-IQ Centralized Management y NGINX App Protect.
- CVE-2022-23008 (CVSS 8.7): Un actor de amenazas autenticado podría usar endpoints de API no revelados en NGINX Controller API Management para inyectar código JavaScript en implementaciones afectadas
- CVE-2022-23009 (CVSS 8.0): Un usuario de rol administrativo autenticado en un dispositivo BIG-IP podría acceder a otros dispositivos BIG-IP administrados por un mismo sistema BIG-IQ
- CVE-2022-23010 (CVSS 7.5): Cuando se configura un perfil FastL4 y un perfil HTTP en un servidor virtual, las solicitudes no reveladas pueden consumir todos los recursos del sistema afectado
- CVE-2022-23011 (CVSS 7.5): Los servidores virtuales en algunas plataformas de hardware BIG-IP podrían dejar de responder mientras procesan el tráfico TCP debido a un problema en la función de protección de cookies SYN.
- CVE-2022-23012 (CVSS 7.5): Si un perfil HTTP/2 está configurado en un servidor virtual, las solicitudes no reveladas pueden hacer que Traffic Management Microkernel (TMM) cierre de forma forzosa
- CVE-2022-23013 (CVSS 7.5): Una falla XSS basada en DOM en una página no revelada de la utilidad de configuración BIG-IP permitiría a los actores de amenazas ejecutar código JavaScript en el contexto del usuario con una sesión activa
- CVE-2022-23014 (CVSS 7.5): Cuando el acceso al portal BIG-IP APM está configurado en un servidor virtual, las solicitudes no reveladas pueden forzar el cierre de Traffic Management Microkernel (TMM)
- CVE-2022-23015 (CVSS 7.5): Cuando se configura un perfil SSL de cliente en un servidor virtual con Client Certificate Authentication y Session Ticket habilitado y configurado, el procesamiento del tráfico SSL puede consumir todos los recursos en la memoria del sistema
- CVE-2022-23016 (CVSS 7.5): Cuando BIG-IP SSL Forward Proxy con TLS 1.3 está configurado en un servidor virtual, las solicitudes no reveladas pueden forzar el cierre de Traffic Management Microkernel (TMM)
- CVE-2022-23017 (CVSS 7.5): Cuando un servidor virtual está configurado con un perfil DNS con la configuración del modo de respuesta rápida habilitada y configurada en un sistema BIG-IP, las solicitudes no reveladas pueden forzar el cierre de Traffic Management Microkernel (TMM)
- CVE-2022-23018 (CVSS 7.5): Cuando un servidor virtual está configurado con seguridad de protocolo HTTP y perfiles de conexión de proxy HTTP, las solicitudes no reveladas pueden forzar el cierre de Traffic Management Microkernel (TMM)
- CVE-2022-23019 (CVSS 7.5): Cuando un servidor virtual de tipo de enrutamiento de mensajes se configura con perfiles de sesión de enrutador en BIG-IP, el tráfico no revelado puede causar un consumo desmedido en los recursos de memoria
- CVE-2022-23023 (CVSS 6.5): Las solicitudes no reveladas por parte de un usuario REST de iControl autenticado en BIG-IP podrían causar un aumento en la utilización de recursos de memoria
- CVE-2022-23026 (CVSS 5.4): Un usuario autenticado con privilegios bajos en BIG-IP podría cargar datos mediante un extremo REST no revelado, generando un incremento desmedido en los recursos del sistema
- CVE-2022-23027 (CVSS 5.3): Cuando un perfil FastL4 y un perfil de persistencia HTTP, FIX o hash se configuran en el mismo servidor virtual, las solicitudes no reveladas pueden hacer que el servidor virtual deje de procesar nuevas conexiones de clientes
- CVE-2022-23028 (CVSS 5.3): Cuando se activa la protección global de cookies AFM SYN en BIG-IP, en el dispositivo AFM Dos o el perfil DOS, ciertos tipos de conexiones TCP presentarán fallas
- CVE-2022-23029 (CVSS 5.3): Al configurar un perfil FastL4 en un servidor virtual, el tráfico no revelado puede causar un aumento en la utilización de recursos de memoria
- CVE-2022-23030 (CVSS 5.3): Cuando BIG-IP Virtual Edition (VE) usa el controlador ixlv y la configuración de descarga de segmentación TCP está habilitada, las solicitudes no reveladas pueden causar un incremento desmedido en el uso de recursos del CPU
- CVE-2022-23031 (CVSS 4.9): Una falla XML External Entity (XXE) en una página no revelada de F5 Advanced Web Application Firewall y BIG-IP ASM Traffic Management User Interface permitiría a los actores de amenazas autenticados acceder a archivos locales y forzar a BIG-IP a enviar solicitudes HTTP
- CVE-2022-23032 (CVSS 3.1): Cuando la configuración del proxy selecciona el recurso de acceso a la red de un sistema BIG-IP APM, la conexión de BIG-IP Edge Client en Mac y Windows puede verse expuesta a ataques de reenlace de DNS
Un reporte detallado de las fallas está disponible en las plataformas oficiales de F5; la compañía afirma que no se han detectado intentos de explotación activa, aunque recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad