Grupos ciberdelincuentes han estado explotando una vulnerabilidad crítica en las soluciones F5 BIG-IP Esto con el fin de borrar los sistemas de archivos en los dispositivos afectados, volviendo los servidores inutilizables. Identificada como CVE-2022-1388, la explotación exitosa de la falla permitiría a los ciberatacantes ejecutar comandos en dispositivos de red BIGIP con privilegios de usuario root, lo que la convierte en un riesgo de seguridad crítico.

 El 4 de mayo del 2022 se publicó la vulnerabilidad BIG-IP(CVE-2022-1388) la cual afecta a los dispositivos En F5 BIG IP versiones 16.1.x anteriores a 16.1.2.2, versiones 15.1.x anteriores a 15.1.5.1, versiones 14.1.x anteriores a 14.1.4.6, versiones 13.1.x anteriores a 13.1.5 y todas las versiones 12.1.x y 11.6.x, las peticiones no reveladas pueden omitir la autenticación REST de iControl.

Impacto

Esta vulnerabilidad puede permitir que un atacante no autenticado con acceso de red al sistema BIG-IP a través del puerto de administración y/o direcciones IP propias ejecute comandos arbitrarios del sistema, cree o elimine archivos o deshabilite servicios. Para determinar si su producto y

versión han sido evaluados para esta vulnerabilidad, consulte https://support.f5.com/csp/article/K51812227

Debido a que el ataque otorga privilegios root, la ejecución de este comando podría eliminar casi todo el contenido del sistema de archivos, incluyendo los archivos de configuración necesarios para el correcto funcionamiento de los dispositivos BIG-IP. Apenas hace unas horas, el especialista en seguridad Kevin Beaumont confirmó que los actores de amenazas estaban desplegando estos ataques.

 

 Recomendaciones:

  • Si está ejecutando una versión listada en la columna versiones conocidas como vulnerables, puede remediar esta vulnerabilidad instalando dicha versión.

Fuentes:

  • https://www.incibe-cert.es/alerta-temprana/vulnerabilidades/cve-2022-1388
  • https://support.f5.com/csp/article/K23605346
  • https://support.f5.com/csp/article/K23605346
  • https://noticiasseguridad.com/vulnerabilidades/actores-de-amenazas-estan-explotando-vulnerabilidad-critica-en-productos-f5-para-destruir-firewalls-y-dispositivos-de-red-por-completo/

Juan Carlos Diaz

CyberSecurity Engineer

      Colombia                                                           Perú                                              India

 +57 (1) 2571520                                             +51 (1) 6124343                           +91-9873451221