Múltiples vulnerabilidades críticas en la familia de productos BIG-IP

La compañía tecnológica F5 anunció recientemente el lanzamiento de cinco actualizaciones de seguridad relacionadas con BIG-IP, incluyendo cuatro parches para corregir fallas identificadas como críticas. Esta solución está presente en una amplia gama de implementaciones de hardware, software y dispositivos virtuales, permitiendo a sus administradores controlar tareas de control de acceso, firewall y protección antimalware, entre otras.

En el reporte, la compañía menciona que estas fallas están presentes en BIG-IQ, un marco diseñado para la administración de dispositivos BIG-IP, conformando un conjunto de siete fallas de alta severidad y diez vulnerabilidades menores. Cabe señalar que las fallas críticas están relacionadas con dos errores de alto riesgo y un error de severidad media.

La falla más severa fue identificada como CVE-2021-22986 y fue descrita como una vulnerabilidad de ejecución de comandos remotos en la interfaz REST iControl. Esta falla recibió un puntaje de 9.8/10 según la escala del Common Vulnerability Scoring System (CVSS). Es importante señalar que la explotación solo es posible a través del plano de control y un ataque exitoso permitiría el compromiso total del sistema afectado.

La segunda falla importante, identificada como CVE-2021-22987, reside en la interfaz de administración de tráfico y puede ser explotada por actores de amenazas remotos autenticados para desplegar ataques de ejecución de comandos arbitrarios.

Finalmente, la falla identificada como CVE-2021-22991 recibió un puntaje de 9/10 y existe debido a una incorrecta administración de solicitudes no reveladas a un servidor virtual, lo que permite el despliegue de un desencadenamiento de búfer y una eventual condición de denegación de servicio (DoS).

F5 también anunció la detección de 14 errores de seguridad no relacionados con este reporte, pidiendo a los administradores que apliquen las correcciones necesarias: “Recomendamos encarecidamente que todos los clientes actualicen sus implementaciones de BIG-IP y BIG-IQ a la versión más recientemente disponible lo antes posible, ya que esta es la única forma de abordar completamente las fallas de seguridad”, agrega la compañía.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).