Vulnerabilidades Críticas en F5 BIG-IP, BIG-IQ Permiten Ejecución Remota de Código en Sistemas Vulnerables
Tabla de contenidos:
El 10 de marzo de 2021, F5 abordó un conjunto de problemas críticos de seguridad que podrían ser aprovechados por atacantes remotos para obtener control total sobre los hosts vulnerables. Según el proveedor, existen cuatro errores críticos en sus productos BIG-IP y BIG-IQ, permitiendo la ejecución remota de código (RCE) en las instancias afectadas. La existencia de agujeros de seguridad podría tener consecuencias devastadoras ya que 48 de las 50 empresas de Fortune dependen de los productos de infraestructura de redes empresariales de F5. Esta lista incluye conocidos proveedores tecnológicos, agencias gubernamentales, proveedores de atención médica, instituciones financieras y empresas de telecomunicaciones.
Vulnerabilidades Críticas en F5 BIG-IP, BIG-IQ
Las fallas más urgentes y graves son CVE-2021-22986 y CVE-2021-22987, a las cuales se les asignaron puntuaciones de severidad CVSS de 9.8 y 9.9, respectivamente. El primer problema (CVE-2021-22986) es una vulnerabilidad de ejecución de comandos remota sin autenticación que reside en la interfaz iControl REST. Permite a los hackers ejecutar comandos arbitrarios del sistema, crear/eliminar archivos y gestionar servicios del sistema. El segundo error (CVE-2021-22987) deriva de una mala configuración en la Interfaz de Usuario de Gestión de Tráfico (TMUI) y resulta en RCE autenticado en páginas no divulgadas si se ejecuta en modo de aplicación.
Los dos errores críticos restantes de F5 BIG-IP y BIG-IQ (CVE-2021-22991, CVE-2021-22992) son problemas de desbordamiento de búfer que emanan del Microkernel de Gestión de Tráfico (TMM) y de los servidores virtuales WAF/ASM Avanzados. Ambas fallas recibieron una puntuación de severidad CVSS de 9.0, permitiendo la ejecución remota de código y denegación de servicio (DoS) en las instalaciones impactadas.
Junto a los problemas críticos de seguridad, F5 parcheó dos errores de alta severidad (CVE-2021-22988, CVE-2021-22989) y uno de severidad media (CVE-2021-22990) que también resultan en la ejecución remota de código.
Detección y Mitigación
De acuerdo con la asesoría de F5, los cuatro agujeros críticos afectan a las versiones de BIG-IP 11.6 o 12.x y más recientes, y uno de ellos también afecta a las versiones de BIG-IQ 6.x y 7.x. El parche de seguridad para los problemas se publicó esta semana, por lo que se insta a los usuarios a actualizar rápidamente.
Para detectar posibles intentos de explotación y habilitar la defensa proactiva contra las intrusiones, el Equipo SOC Prime lanzó un conjunto de reglas Sigma disponibles en el Mercado de Detección de Amenazas.
Posible F5 CVE-2021-22991 (vía Zeek)
Posible F5 CVE-2021-22992 (vía web)
Manténgase atento a nuestro blog para no perderse futuras actualizaciones y nuevas detecciones relacionadas con estas peligrosas fallas. Toda la información fresca y las próximas reglas Sigma se añadirán a este artículo.
F5 es la segunda empresa líder mundial que parchea urgentemente fallas extremadamente peligrosas en sus productos. A principios de marzo de 2021, Microsoft addressó varias vulnerabilidades de día cero que afectan a su Exchange Server. Las fallas se han explotado inmediatamente en el medio por múltiples actores de amenazas, incluyendo el APT Hafnium afiliado a China. El Equipo SOC Prime lanzó un conjunto de reglas Sigma para habilitar la detección rápida y la defensa proactiva contra estos problemas de día cero. La lista de detecciones está disponible en nuestro archivo de blog. Además, se añadieron reglas a Uncoder.io, la herramienta de SOC Prime para convertir el formato de reglas Sigma en contenido de detección de amenazas adaptado a la plataforma de seguridad en uso.
Suscríbase al Mercado de Detección de Amenazas, la primera plataforma de Contenido-como-Servicio (CaaS) y Detección como Código de la industria que agrega la biblioteca más grande del mundo de reglas de detección y respuesta, analizadores, consultas de búsqueda y otros contenidos SOC curados. Más de 300 colaboradores enriquecen nuestra biblioteca global cada día para permitir la detección continua de las amenazas cibernéticas más alarmantes en las primeras etapas del ciclo de vida del ataque. ¿Quiere participar en estas actividades de caza de amenazas? Únase al Programa de Recompensas de Amenazas de SOC Prime ¡para un futuro más seguro!