 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AVISOS | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Vulnerabilidades en productos F5Fecha de publicación: 05/05/2020 Nivel de criticidad: ALTO El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, avisa de la publicación de vulnerabilidades en productos F5. F5 Networks ha publicado recientemente información referente a ocho vulnerabilidades de criticidad alta en varios de sus productos. A continuación, se detallan los ocho CVEs asignados a las mismas, junto a una tabla con los productos y versiones afectadas. 1. CVE-2020-5876: Durante las conexiones de chequeo sin cifrar que realiza el servicio MCPD (clustering) tanto al inicio del equipo como al cambiarse la dirección IP de un peer del cluster, un atacante puede aprovechar para hacer un spoofing de la IP legítima del peer y extraer información sensible del sistema. En caso de hacer uso de WIP públicas para sincronización (DNS) aumenta la superficie de exposición. El ataque tiene una complejidad bastante alta, ya que es necesario un conocimiento profundo de los procesos de sincronización de los equipos y requiere un acceso previo al sistema para conocer la configuración específica, no obstante, la información que se puede extraer es crítica (certificados, topología de la red, datos de sincronización, configuración de HA, etc). El NIST ha registrado la vulnerabilidad en su base de datos, aunque por el momento se encuentra bajo análisis y sin criticidad asignada. No obstante, el fabricante ha calificado esta vulnerabilidad con un 8.1 según la escala CVSSv3.
F5 no ha especificado ninguna medida de mitigación concreta para esta vulnerabilidad en caso de no ser posible aplicar las correspondientes actualizaciones. Para obtener más información es posible consultar el aviso del fabricante: 2. CVE-2020-5873: Un usuario con rol de resource administrator (que solo puede modificar objetos del módulo que tenga asignado por el admin/root) sin acceso al Shell BASH puede obtener privilegios y ejecutar comandos arbitrarios usando peticiones SCP modificadas (es necesaria la autenticación previa del usuario en una sesión SCP). Aunque el fabricante no da detalle, en algunas versiones de SCP existen exploits que realizan un comportamiento similar (ver por ejemplo CVE-2019-1000018). Al ser una escalada de privilegios a root, el impacto puede ser de cualquier tipo y alcance. La base de datos del NIST ha registrado la vulnerabilidad, aunque por el momento se encuentra bajo análisis y sin criticidad asignada. No obstante, el fabricante ha calificado esta vulnerabilidad con un 7.8 según la escala CVSSv3.
Para mitigar esta vulnerabilidad, es posible limitar el acceso a los puertos de administración y auto IP y limitar el acceso de inicio de sesión a usuarios confiables. Para obtener más información sobre cómo asegurar el acceso a los sistemas afectados se recomienda consultar el aviso del fabricante: 3. CVE-2020-5871: Ciertas peticiones pueden originar un DoS al ser enviadas a Virtual Servers HTTP/2. El problema ocurre cuando se usan protocolos de cifrado prohibidos por la RFC 7540 en el set de cifrados de los servidores de backend (pool members), para ello es necesario que el perfil HTTP/2 del virtual server incluya la opción MRF routing. El MRF routing enruta un mensaje basándose en URI, URL o la IP del virtual server, pudiéndose aplicar en Irules. Esta vulnerabilidad afecta solo a servidores virtuales con un perfil HTTP/2 con el setting MRF Router activado. La vulnerabilidad provoca un reset en el proceso TMM, que de darse en un cluster HA, a su vez provocará un failover. Comúnmente, las conexiones HTTP/2 desde navegadores comunes (Firefox, Chrome, etc.) establecen un cifrado mínimo TLS1.2 a través de la extensión TLS-ALPN, lo que descarta la mayoría de cifrados de la lista negra. La base de datos del NIST ha registrado la vulnerabilidad, aunque por el momento se encuentra bajo análisis y sin criticidad asignada. No obstante, el fabricante ha calificado esta vulnerabilidad con un 7.5 según la escala CVSSv3.
Para evitar esta vulnerabilidad, F5 recomienda revisar y asegurarse de que los servidores backend HTTP/2 no ofrezcan conjuntos de cifrado. Para obtener más información es posible consultar el aviso del fabricante: 4. CVE-2020-5872: Durante el proceso de tráfico TLS con aceleración por hardware con tecnología Intel QAT, el TMM puede dejar de responder o reiniciarse, provocando un failover. Este tipo de hardware lo llevan todos los modelos de series “i” de F5 y el blade viprion B4400N (los más antiguos llevan hardware Cavium). El impacto de disponibilidad puede ser muy alto, ya que provoca la caída de TMM y reinicio, produciéndose un failover. Al presentar la misma IP el standby, es previsible que también termine de caer, provocando una pérdida de servicio total de los dispositivos. La base de datos del NIST ha registrado la vulnerabilidad, aunque por el momento se encuentra bajo análisis y sin criticidad asignada. No obstante, el fabricante ha calificado esta vulnerabilidad con un 7.5 según la escala CVSSv3.
Es posible mitigar este problema deshabilitando la aceleración de hardware de cifrado. Para hacerlo, se recomienda consultar el aviso del fabricante: 5. CVE-2020-5874: Si un virtual server asociado a una política de acceso está configurado para usar OpenID, una petición modificada específicamente puede hacer reiniciarse el TMM. El reinicio de TMM siempre dispara un failover en una pareja de alta disponibilidad, si el ataque persiste, pueden acabar ambas máquinas en reinicio en bucle causando pérdida total de servicio. La base de datos del NIST ha registrado la vulnerabilidad, aunque por el momento se encuentra bajo análisis y sin criticidad asignada. No obstante, el fabricante ha calificado esta vulnerabilidad con un 7.5 según la escala CVSSv3.
F5 no ha especificado ninguna medida de mitigación concreta para esta vulnerabilidad en caso de no ser posible aplicar las correspondientes actualizaciones. Para obtener más información es posible consultar el aviso del fabricante: 6. CVE-2020-5875: Si se ha habilitado HTTP/2 y MRF, una secuencia de peticiones determinada puede hacer que el TMM se reinicie y se provoque un failover. Este fallo está relacionado con la vulnerabilidad CVE-2020-5871, pero el formato de ataque es distinto y en este caso se ataca directamente el manejo de tráfico en ASIC por el perfil, no la criptografía. En este caso sólo se encuentran afectados servidores virtuales con un perfil HTTP/2 con el setting MRF Router activado. La vulnerabilidad provoca un reset y coredump en el proceso TMM, que de darse en un cluster HA, a su vez provocará un failover. La base de datos del NIST ha registrado la vulnerabilidad, aunque por el momento se encuentra bajo análisis y sin criticidad asignada. No obstante, el fabricante ha calificado esta vulnerabilidad con un 7.5 según la escala CVSSv3.
F5 no ha especificado ninguna medida de mitigación concreta para esta vulnerabilidad en caso de no ser posible aplicar las correspondientes actualizaciones. Para obtener más información es posible consultar el aviso del fabricante: 7. CVE-2020-5877: Un uso determinado del comando DATAGRAM::tcp dentro de un trigger FLOW_INIT puede crear una denegación de servicio. El comando devuelve los resultados de analizar una cabecera TCP, si las cabeceras recibidas están malformadas a propósito, no lo reconocerá y provoca un error, que genera un consumo algo mayor de CPU y memoria. Si recibe un stream de paquetes continuo, se producirá una denegación de servicio por degradación dependiendo del caudal del ataque y los recursos de la máquina. Puede quedar algún uso del comando debido a actividades de depuración en el desarrollo de irules por parte de los administradores. El uso de datagramas ilegibles dentro de un flow init puede causar un bucle, agotando recursos de CPU y memoria y produciendo una degradación, o incluso un core dump en el equipo. La base de datos del NIST ha registrado la vulnerabilidad, aunque por el momento se encuentra bajo análisis y sin criticidad asignada. No obstante, el fabricante ha calificado esta vulnerabilidad con un 7.5 según la escala CVSSv3.
F5 no ha especificado ninguna medida de mitigación concreta para esta vulnerabilidad en caso de no ser posible aplicar las correspondientes actualizaciones. Para obtener más información es posible consultar el aviso del fabricante: 8. CVE-2020-5878: El servicio TMM puede reiniciarse si recibe un tráfico IP inusual. F5 no ha dado información adicional sobre el tipo de tráfico que puede generar este problema o configuración del VS susceptible de ser afectada. El fallo podría provocar un reinicio de TMM y failover en caso de que el equipo pertenezca a un grupo de alta disponibilidad. La base de datos del NIST ha registrado la vulnerabilidad en, aunque por el momento se encuentra bajo análisis y sin criticidad asignada. No obstante, el fabricante ha calificado esta vulnerabilidad con un 7.5 según la escala CVSSv3.
F5 no ha especificado ninguna medida de mitigación concreta para esta vulnerabilidad en caso de no ser posible aplicar las correspondientes actualizaciones. Para obtener más información es posible consultar el aviso del fabricante: Recomendaciones: El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los últimos parches de seguridad con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos. En este caso se recomienda aplicar en cuanto sea posible las actualizaciones descritas para cada producto en los avisos proporcionados por F5 Networks y, en caso de no ser posible, poner en práctica las medidas de mitigación propuestas. Referencias: ● K32121038: BIG-IP mcpd vulnerability CVE-2020-5876 ● K03585731: F5 secure shell vulnerability CVE-2020-5873 ● K43450419: TMM vulnerability CVE-2020-5871 ● K63558580: BIG-IP crypto driver vulnerability CVE-2020-5872 ● K46901953: BIG-IP APM virtual server vulnerability CVE-2020-5874 ● K65372933: BIG-IP HTTP/2 vulnerability CVE-2020-5875 ● K54200228: BIG-IP iRules vulnerability CVE-2020-5877 ● K35750231: TMM vulnerability CVE-2020-5878
Atentamente, Equipo CCN-CERT ////////////////////////////////////////////////////////////////////////////////////////// El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es), adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes. Todo ello, con el fin último de conseguir un ciberespacio más seguro y confiable, preservando la información clasificada (tal y como recoge el art. 4. F de la Ley 11/2002) y la información sensible, defendiendo el Patrimonio Tecnológico español, formando al personal experto, aplicando políticas y procedimientos de seguridad y empleando y desarrollando las tecnologías más adecuadas a este fin. De acuerdo a esta normativa y la Ley 40/2015 de Régimen Jurídico del Sector Público es competencia del CCN-CERT la gestión de ciberincidentes que afecten a cualquier organismo o empresa pública. En el caso de operadores críticos del sector público la gestión de ciberincidentes se realizará por el CCN-CERT en coordinación con el CNPIC. Claves PGP Públicas ///////////////////////////////////////////////////////////////////////////////////////// POLÍTICA DE PRIVACIDAD: Nos pondremos en contacto con usted cuando dispongamos de información que consideremos que le pueda ser de interés, informándole de contenidos, servicios, eventos, avisos de seguridad o, si procede, gestionar y atender sus solicitudes de información. Puede encontrar la nueva información y política de privacidad del Centro Criptológico Nacional haciendo click AQUÍ. Por favor, consulte esta información y no dude en ponerse en contacto con nosotros para cualquier aclaración enviándonos un email a ////////////////////////////////////////////////////////////////////////////////////////// AVISO DE CONFIDENCIALIDAD: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| © 2020 Centro Criptológico Nacional, Argentona 30, 28023 MADRID | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
