Vulnerabilidad crítica sin corregir en F5 BIG-IP y BIG-IQ Centralized Management

Especialistas en ciberseguridad reportan el hallazgo de una vulnerabilidad crítica en BIG-IQ Centralized Management, una solución creada por F5 Networks para la realización de tareas comunes de administración BIG-IP, incluyendo la instalación de hotfix en un dispositivo BIG-IP administrado. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas escalar privilegios en los sistemas afectados.

Identificada como CVE-2021-33909, esta falla existe debido a un desbordamiento de enteros durante la conversión size_t-to-int al crear, montar y eliminar una estructura de directorio profunda cuya longitud total de ruta excede 1GB. Un usuario malicioso sin privilegios podría escribir una cadena de hasta 10 bytes con un desplazamiento de exactamente -2GB-10B por debajo del comienzo de un búfer de kernel con vmalloc().

La vulnerabilidad recibió un puntaje de 8.5/10 acorde al Common Vulnerability Scoring System (CVSS) y su explotación exitosa permitiría a los actores de amenazas aprovechar el error de escritura fuera de límites para la ejecución de código arbitrario con privilegios de usuario root, comprometiendo el sistema afectado por completo.

La vulnerabilidad reside en las siguientes versiones de BIG-IP: 13.1.0, 13.1.0.4, 13.1.0.8, 13.1.1, 13.1.1.2, 13.1.3, 13.1.3.2, 13.1.3.4, 13.1.3.5, 13.1.3.6, 13.1.4, 14.1.0, 14.1.0.2.0.45.4 Hotfix-ENG, 14.1.0.2.0.62.4 Hotfix-ENG, 14.1.0.3.0.79.6-ENG Hotfix, 14.1.0.3.0.97.6-ENG Hotfix, 14.1.0.3.0.99.6-ENG Hotfix, 14.1.0.5.0.15.5-ENG Hotfix, 14.1.0.5.0.36.5-ENG Hotfix, 14.1.0.5.0.40.5-ENG Hotfix, 14.1.0.6.0.11.9-ENG Hotfix, 14.1.0.6.0.14.9-ENG Hotfix, 14.1.0.6.0.68.9-ENG Hotfix, 14.1.0.6.0.70.9-ENG Hotfix, 14.1.1, 14.1.2, 14.1.2-0.89.37, 14.1.2.0.11.37-ENG Hotfix, 14.1.2.0.18.37-ENG Hotfix, 14.1.2.0.32.37-ENG Hotfix, 14.1.2.1, 14.1.2.1.0.14.4-ENG Hotfix, 14.1.2.1.0.16.4-ENG Hotfix, 14.1.2.1.0.34.4-ENG Hotfix, 14.1.2.1.0.46.4-ENG Hotfix, 14.1.2.1.0.83.4 Hotfix-ENG, 14.1.2.1.0.97.4-ENG Hotfix, 14.1.2.1.0.99.4-ENG Hotfix, 14.1.2.1.0.105.4-ENG Hotfix, 14.1.2.1.0.111.4-ENG Hotfix, 14.1.2.1.0.115.4-ENG Hotfix, 14.1.2.1.0.122.4-ENG Hotfix, 14.1.2.3, 14.1.2.4, 14.1.2.5, 14.1.2.6, 14.1.2.7, 14.1.2.8, 14.1.3, 14.1.3.1, 14.1.4, 14.1.4.0.120.11, 14.1.4.2, 15.1.0, 15.1.0.1, 15.1.0.2, 15.1.0.4, 15.1.0.5, 15.1.1, 15.1.2, 15.1.2.1, 15.1.3, 16.0.0, 16.0.1, 16.0.1.1, 16.0.1.1.9.6 y 16.1.0.

La falla también reside en las siguientes versiones de BIG-IQ Centralized Management: 8.0.0, 8.0.0.1 y 8.1.0.

Si bien la vulnerabilidad recibió un puntaje CVSS alto, el riesgo de explotación se reduce debido a que la falla debe ser explotada de forma local. Para ello, los actores de amenazas deben autenticarse con éxito en el sistema afectado, por lo que se elimina el riesgo de un ataque remoto.

A pesar de que la vulnerabilidad no ha sido explotada en escenarios reales, no hay parches para abordarla y ya existe un exploit disponible públicamente, por lo que es importante que los administradores de implementaciones afectadas tomen precauciones adicionales. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).