Resumen Ejecutivo
El proveedor de seguridad y dispositivos de telecomunicaciones, F5, ha publicado una nueva alerta de seguridad para BIG-IP iControl REST. La vulnerabilidad ha sido identificada como CVE-2022-1388 y tiene una puntuación (CVSS v3) de 9.8 de 10.0, categorizada como crítica.
La vulnerabilidad permite a un atacante saltarse la autenticación (bypass) y ejecutar comandos arbitrarios en el servidor, además, la posibilidad de pivotear hacia la red interna.
Debido a la gravedad de la vulnerabilidad y al despliegue generalizado de productos BIG-IP en entornos críticos, el CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad) también ha realizado una alerta el día de hoy.
Las versiones afectadas por esta vulnerabilidad son las siguientes:
- BIG-IP versiones 16.1.0 a 16.1.2
- BIG-IP versiones 15.1.0 a 15.1.5
- BIG-IP versiones 14.1.0 a 14.1.4
- BIG-IP versiones 13.1.0 a 13.1.4
- BIG-IP versiones 12.1.0 a 12.1.6
- BIG-IP versiones 11.6.1 a 11.6.5

Imagen: F5
Según Shodan, más de 11.300 dispositivos F5 se encuentran con la interfaz de administración habilitada hacia Internet. En Chile se detectan 212, siendo el país de Latinoamérica con la mayor cantidad de instancias F5 expuestas públicamente.

Recomendaciones
F5 recomienda a todos los administradores de sistemas actualizar los dispositivos lo más pronto posible, en especial las versiones 13.1.0 – 13.1.4 / 14.1.0 – 14.1.4 / 15.1.0 – 15.1.5 / 16.1.0 – 16.1.2. Lamentablemente, las versiones 12.1.0 – 12.1.6 y 11.6.1 – 11.6.5 no tendrán soporte para mitigar la vulnerabilidad.
Otras recomendaciones de F5 son:
- Bloquear el acceso REST de iControl a través de la propia dirección IP.
- Bloquear el acceso REST de iControl a través de la interfaz de administración.
- Modificar la configuración httpd de BIG-IP.
CronUp además, recomienda restringir el acceso público a la interfaz de administración (ACL) de los dispositivos F5.

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.