Saltar al contenido
computerg

🥇 Otro Proveedor De Seguridad Encuentra Errores Críticos En Sus Productos

marzo 11, 2021


La empresa de ciberseguridad F5 emitió una advertencia sobre siete vulnerabilidades en su suite de productos, cuatro de las cuales están clasificadas como críticas.

Los errores afectan a todas las implementaciones de F5 BIG-IP y BIG-IQ y se pueden abusar para realizar ejecuciones de código remoto (RCE), denegación de servicio (DoS) y ataques de toma de control de dispositivos.

Los errores son tan graves que la Agencia de Infraestructura y Ciberespacio de EE. UU. (CISA) también ha emitido un aviso, pidiendo a las empresas que «revisen el aviso F5 e instalen el software actualizado lo antes posible».

Según el aviso F5, los parches ahora están disponibles para las siete vulnerabilidades.

Vulnerabilidades de seguridad F5

A la más grave de las vulnerabilidades F5, CVE-2021-22987, se le ha asignado una clasificación de gravedad de 9,9 / 10 de acuerdo con el Common Vulnerability Rating Standard (CVSS). El error permite a los usuarios con acceso a la red a la utilidad de configuración (también conocida como interfaz de usuario de gestión de tráfico) «ejecutar comandos arbitrarios del sistema, crear o eliminar archivos o deshabilitar servicios».

CVE-22021-22986, por otro lado, pertenece a la interfaz REST de iControl y crea oportunidades para los mismos tipos de ataques, lo que le otorga una calificación de gravedad de 9,8.

Sin embargo, ambas fallas requieren acceso para obtener acceso al plano de control, lo que obligaría al atacante a poseer o robar las credenciales de inicio de sesión.

Los dos últimos errores críticos, CVE-2021-22991 y CVE-2021-22992, son vulnerabilidades de desbordamiento de búfer que abren la puerta a ataques DoS y, en algunas situaciones, a la ejecución remota de código.

Más allá de estas cuatro vulnerabilidades críticas, la compañía también dio a conocer detalles de un defecto de gravedad media y dos defectos de gravedad alta, junto con una disculpa a los clientes afectados.

«Estas vulnerabilidades se descubrieron como resultado de las pruebas de seguridad internas periódicas y continuas de nuestras soluciones», dijo F5 en una publicación de blog. «Porque entendemos cuán críticos son BIG-IP y BIG-IQ para nuestros clientes, tan pronto como se descubrieron estas vulnerabilidades, comenzamos a trabajar de inmediato en correcciones y publicamos avisos de títulos lo antes posible».

“La confianza que deposita en F5 para administrar la seguridad y la entrega de sus activos más importantes, sus aplicaciones, no es algo que nos tomemos a la ligera. Entendemos que remediar las vulnerabilidades puede afectar su negocio. »


Source link