BSI ha emitido una advertencia de seguridad sobre una vulnerabilidad en los productos BIG-IP de F5. La vulnerabilidad está clasificada por BSI como nivel de amenaza de TI 2, es decir, amarillo. El valor CVSS, sin embargo, con 9,8 - crítico. Los administradores deben verificar los sistemas y tomar medidas.
El 4 de mayo de 2022, F5 publicó un aviso de seguridad sobre una vulnerabilidad que podría permitir a un atacante ejecutar comandos, deshabilitar servicios, crear/eliminar archivos y, en última instancia, tomar el control del dispositivo de la familia de soluciones BIG-IP. La razón principal de esto es una vulnerabilidad en la autenticación de la interfaz REST de iControl (CVE-2022-1388). La vulnerabilidad se clasifica como “crítica” con un valor de 9.8 según el Common Vulnerability Scoring System (CVSS) (CVSSv3).
Vulnerabilidad en la familia de productos BIG-IP
Los componentes con las siguientes versiones de BIG-IP se ven afectados:
- 16.1.0 – 16.1.2
- 15.1.0 – 15.1.5
- 14.1.0 – 14.1.4
- 13.1.0 – 13.1.4
- 12.1.0 – 12.1.6 (Fin del soporte regular ya alcanzado).
- 11.6.1 – 11.6.5 (Fin del soporte regular ya alcanzado).
Según BSI: después de que el fabricante anunciara los hechos, hubo cada vez más informes en los portales de TI y las redes sociales que consideraban que explotar la vulnerabilidad era particularmente fácil. Entre otras cosas, los investigadores de seguridad de la empresa Horizon3.ai anunciaron el 7 de mayo de 2022 que publicarían un código de prueba de concepto (código PoC) para la vulnerabilidad en la semana actual (semana 19). Más publicaciones sobre los hechos descritos sugieren que las PoC también serán publicadas por otras fuentes en un futuro cercano o ya están en circulación.
Más en BSI.Bund.de
Acerca de la Oficina Federal para la Seguridad de la Información (BSI) La Oficina Federal para la Seguridad de la Información (BSI) es la autoridad federal de seguridad cibernética y el diseñador de la digitalización segura en Alemania. La declaración de misión: El BSI, como autoridad federal de seguridad cibernética, diseña la seguridad de la información en la digitalización a través de la prevención, detección y respuesta para el estado, las empresas y la sociedad.