Especialistas en pruebas de seguridad informática reportan el hallazgo de una vulnerabilidad crítica en la rama de productos BIG-IP de la compañía F5 Networks, especializada en servicios de aplicación y redes de entrega de aplicaciones. Acorde al reporte, la explotación exitosa de esta falla permitiría la ejecución de código en el sistema afectado.
Los productos afectados por esta falla son: BIG-IP LTM, BIG-IP AFM, BIG-IP Analytics, BIG-IP APM, BIG-IP ASM, BIG-IP FPS, BIG-IP GTM, BIG-IP PEM, BIG-IP AAM, BIG-IP DNS y BIG-IP Link Controller. A continuación se presenta una breve reseña de la falla reportada, además de su puntaje y clave de identificación según en Common Vulnerability Scoring System (CVSS).
Identificada como CVE-2020-5902, esta falla existe debido a una insuficiente validación de entrada en páginas no reveladas en la Interfaz de Usuario para la Gestión de Tráfico (TMUI), lo que conduciría a la ejecución de comandos de shell arbitrarios en el sistema objetivo.
Los expertos en pruebas de seguridad informática mencionan que un actor de amenazas no autenticado podría pasar datos especialmente diseñados a la aplicación para completar el ataque. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso total del sistema vulnerable.
Aunque la falla recibió un puntaje de 8.5/10 y puede ser explotada de forma remota por actores de amenazas no autenticados, no se han detectado intentos de explotación en escenarios reales. Los expertos en pruebas de seguridad informática tampoco han detectado alguna variante de malware útil para desencadenar el ataque.
La falla ya ha sido corregida, por lo que F5 recomienda a los usuarios verificar su correcta instalación. La lista completa de productos vulnerables está disponible en el sitio web de la compañía fabricante.
Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad