Múltiples vulnerabilidades críticas (RCE) en F5 Big-IP

La empresa F5 Networks publicó el pasado miércoles un boletín de seguridad en el que alerta de 7 vulnerabilidades, 4 de ellas críticas, en los productos F5 Big-IP y Big-IQ.

Object: Vulnerability in F5 BIG-IP - ELITE CI CONSULTING

Las vulnerabilidades críticas afectan a las versiones 11.6 y 12.x en adelante de Big-IP, mientras que sólo una, CVE-2021-22986, afecta igualmente a las versiones 6 y 7 de Big-IQ:

  • CVE-2021-22986: Ejecución remota de código no autenticada en el interface REST iControl
  • CVE-2021-22987, 22988, 22989 y 22990: Ejecución remota de código en el TMUI (Interfaz de usuario de gestión de tráfico)
  • CVE-2021-22991: La normalización de URI en la gestión de tráfico en peticiones a servidores virtuales puede generar un desbordamiento de buffer, resultando en denegación de servicio, evasión de reglas de acceso o ejecución remota de código.
  • CVE-2021-22992: Una respuesta HTTP maliciosa, bajo determinadas circunstancias, puede generar un desbordamiento de buffer, provocando una denegación de servicio o ejecución remota de código.

La explotación satisfactoria de estas vulnerabilidades puede provocar el compromiso completo del sistema, incluyendo la posibilidad de ejecución remota de código y denegación de servicio (DoS).

Centrándonos en la vulnerabilidad con CVE-2021-22992, de la que hay una prueba de concepto de muy pocas líneas, durante ciertas peticiones a un servidor virtual, el WAF debe procesar toda la respuesta del mismo, incluyendo sus cabeceras, cuyo incorrecto tratamiento puede provocar un desbordamiento de un buffer, lo que resulta en la sobre escritura de la pila y posibilita el control del flujo de ejecución.

Llama especialmente la atención la ausencia de protecciones habituales en estos casos, como es el PIE (código independiente de posición) o Stack Canary (protección contra el desbordamiento de la pila), lo que permite la construcción de un ‘payload’ de una sola pasada, con direcciones estáticas.

La dificultad de la explotación de este fallo radica, por tanto, en identificar una vulnerabilidad en alguno de los ‘endpoints’ de la aplicación servida, que permita al atacante manipular las cabeceras de la respuesta.

La empresa, en su boletín, urge a los clientes a actualizar tan pronto como sea posible, estando ya disponibles los parches necesarios.

Más información
https://thehackernews.com/2021/03/critical-pre-auth-rce-flaw-found-in-f5.html
https://threatpost.com/f5-cisa-critical-rce-bugs/164679/
https://bugs.chromium.org/p/project-zero/issues/detail?id=2132
https://bugs.chromium.org/p/project-zero/issues/detail?id=2126

La entrada Múltiples vulnerabilidades críticas (RCE) en F5 Big-IP se publicó primero en Una al Día.

Compartir