Vulnerabilidades en productos F5

Fecha de publicación: 05/05/2020

Nivel de criticidad: ALTO

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, avisa de la publicación de vulnerabilidades en productos F5.

F5 Networks ha publicado recientemente información referente a ocho vulnerabilidades de criticidad alta en varios de sus productos. A continuación, se detallan los ocho CVEs asignados a las mismas, junto a una tabla con los productos y versiones afectadas.

1. CVE-2020-5876: Durante las conexiones de chequeo sin cifrar que realiza el servicio MCPD (clustering) tanto al inicio del equipo como al cambiarse la dirección IP de un peer del cluster, un atacante puede aprovechar para hacer un spoofing de la IP legítima del peer y extraer información sensible del sistema. En caso de hacer uso de WIP públicas para sincronización (DNS) aumenta la superficie de exposición.

El ataque tiene una complejidad bastante alta, ya que es necesario un conocimiento profundo de los procesos de sincronización de los equipos y requiere un acceso previo al sistema para conocer la configuración específica, no obstante, la información que se puede extraer es crítica (certificados, topología de la red, datos de sincronización, configuración de HA, etc).

El NIST ha registrado la vulnerabilidad en su base de datos, aunque por el momento se encuentra bajo análisis y sin criticidad asignada. No obstante, el fabricante ha calificado esta vulnerabilidad con un 8.1 según la escala CVSSv3.

F5 no ha especificado ninguna medida de mitigación concreta para esta vulnerabilidad en caso de no ser posible aplicar las correspondientes actualizaciones. Para obtener más información es posible consultar el aviso del fabricante:

• https://support.f5.com/csp/article/K32121038

2. CVE-2020-5873: Un usuario con rol de resource administrator (que solo puede modificar objetos del módulo que tenga asignado por el admin/root) sin acceso al Shell BASH puede obtener privilegios y ejecutar comandos arbitrarios usando peticiones SCP modificadas (es necesaria la autenticación previa del usuario en una sesión SCP). Aunque el fabricante no da detalle, en algunas versiones de SCP existen exploits que realizan un comportamiento similar (ver por ejemplo CVE-2019-1000018).

Al ser una escalada de privilegios a root, el impacto puede ser de cualquier tipo y alcance.

La base de datos del NIST ha registrado la vulnerabilidad, aunque por el momento se encuentra bajo análisis y sin criticidad asignada. No obstante, el fabricante ha calificado esta vulnerabilidad con un 7.8 según la escala CVSSv3.

Para mitigar esta vulnerabilidad, es posible limitar el acceso a los puertos de administración y auto IP y limitar el acceso de inicio de sesión a usuarios confiables. Para obtener más información sobre cómo asegurar el acceso a los sistemas afectados se recomienda consultar el aviso del fabricante:

• https://support.f5.com/csp/article/K03585731

3. CVE-2020-5871: Ciertas peticiones pueden originar un DoS al ser enviadas a Virtual Servers HTTP/2. El problema ocurre cuando se usan protocolos de cifrado prohibidos por la RFC 7540 en el set de cifrados de los servidores de backend (pool members), para ello es necesario que el perfil HTTP/2 del virtual server incluya la opción MRF routing. El MRF routing enruta un mensaje basándose en URI, URL o la IP del virtual server, pudiéndose aplicar en Irules.

Esta vulnerabilidad afecta solo a servidores virtuales con un perfil HTTP/2 con el setting MRF Router activado. La vulnerabilidad provoca un reset en el proceso TMM, que de darse en un cluster HA, a su vez provocará un failover. Comúnmente, las conexiones HTTP/2 desde navegadores comunes (Firefox, Chrome, etc.) establecen un cifrado mínimo TLS1.2 a través de la extensión TLS-ALPN, lo que descarta la mayoría de cifrados de la lista negra.

La base de datos del NIST ha registrado la vulnerabilidad, aunque por el momento se encuentra bajo análisis y sin criticidad asignada. No obstante, el fabricante ha calificado esta vulnerabilidad con un 7.5 según la escala CVSSv3.

Para evitar esta vulnerabilidad, F5 recomienda revisar y asegurarse de que los servidores backend HTTP/2 no ofrezcan conjuntos de cifrado. Para obtener más información es posible consultar el aviso del fabricante:

• https://support.f5.com/csp/article/K43450419

4. CVE-2020-5872: Durante el proceso de tráfico TLS con aceleración por hardware con tecnología Intel QAT, el TMM puede dejar de responder o reiniciarse, provocando un failover. Este tipo de hardware lo llevan todos los modelos de series “i” de F5 y el blade viprion B4400N (los más antiguos llevan hardware Cavium).

El impacto de disponibilidad puede ser muy alto, ya que provoca la caída de TMM y reinicio, produciéndose un failover. Al presentar la misma IP el standby, es previsible que también termine de caer, provocando una pérdida de servicio total de los dispositivos.

La base de datos del NIST ha registrado la vulnerabilidad, aunque por el momento se encuentra bajo análisis y sin criticidad asignada. No obstante, el fabricante ha calificado esta vulnerabilidad con un 7.5 según la escala CVSSv3.

Es posible mitigar este problema deshabilitando la aceleración de hardware de cifrado. Para hacerlo, se recomienda consultar el aviso del fabricante:

• https://support.f5.com/csp/article/K63558580

5. CVE-2020-5874: Si un virtual server asociado a una política de acceso está configurado para usar OpenID, una petición modificada específicamente puede hacer reiniciarse el TMM.

El reinicio de TMM siempre dispara un failover en una pareja de alta disponibilidad, si el ataque persiste, pueden acabar ambas máquinas en reinicio en bucle causando pérdida total de servicio.

La base de datos del NIST ha registrado la vulnerabilidad, aunque por el momento se encuentra bajo análisis y sin criticidad asignada. No obstante, el fabricante ha calificado esta vulnerabilidad con un 7.5 según la escala CVSSv3.

F5 no ha especificado ninguna medida de mitigación concreta para esta vulnerabilidad en caso de no ser posible aplicar las correspondientes actualizaciones. Para obtener más información es posible consultar el aviso del fabricante:

• https://support.f5.com/csp/article/K46901953

6. CVE-2020-5875: Si se ha habilitado HTTP/2 y MRF, una secuencia de peticiones determinada puede hacer que el TMM se reinicie y se provoque un failover. Este fallo está relacionado con la vulnerabilidad CVE-2020-5871, pero el formato de ataque es distinto y en este caso se ataca directamente el manejo de tráfico en ASIC por el perfil, no la criptografía.

En este caso sólo se encuentran afectados servidores virtuales con un perfil HTTP/2 con el setting MRF Router activado. La vulnerabilidad provoca un reset y coredump en el proceso TMM, que de darse en un cluster HA, a su vez provocará un failover.

La base de datos del NIST ha registrado la vulnerabilidad, aunque por el momento se encuentra bajo análisis y sin criticidad asignada. No obstante, el fabricante ha calificado esta vulnerabilidad con un 7.5 según la escala CVSSv3.

F5 no ha especificado ninguna medida de mitigación concreta para esta vulnerabilidad en caso de no ser posible aplicar las correspondientes actualizaciones. Para obtener más información es posible consultar el aviso del fabricante:

• https://support.f5.com/csp/article/K65372933

7. CVE-2020-5877: Un uso determinado del comando DATAGRAM::tcp dentro de un trigger FLOW_INIT puede crear una denegación de servicio. El comando devuelve los resultados de analizar una cabecera TCP, si las cabeceras recibidas están malformadas a propósito, no lo reconocerá y provoca un error, que genera un consumo algo mayor de CPU y memoria. Si recibe un stream de paquetes continuo, se producirá una denegación de servicio por degradación dependiendo del caudal del ataque y los recursos de la máquina. Puede quedar algún uso del comando debido a actividades de depuración en el desarrollo de irules por parte de los administradores.

El uso de datagramas ilegibles dentro de un flow init puede causar un bucle, agotando recursos de CPU y memoria y produciendo una degradación, o incluso un core dump en el equipo.

La base de datos del NIST ha registrado la vulnerabilidad, aunque por el momento se encuentra bajo análisis y sin criticidad asignada. No obstante, el fabricante ha calificado esta vulnerabilidad con un 7.5 según la escala CVSSv3.

F5 no ha especificado ninguna medida de mitigación concreta para esta vulnerabilidad en caso de no ser posible aplicar las correspondientes actualizaciones. Para obtener más información es posible consultar el aviso del fabricante:

• https://support.f5.com/csp/article/K54200228

8. CVE-2020-5878: El servicio TMM puede reiniciarse si recibe un tráfico IP inusual. F5 no ha dado información adicional sobre el tipo de tráfico que puede generar este problema o configuración del VS susceptible de ser afectada. El fallo podría provocar un reinicio de TMM y failover en caso de que el equipo pertenezca a un grupo de alta disponibilidad.

La base de datos del NIST ha registrado la vulnerabilidad en, aunque por el momento se encuentra bajo análisis y sin criticidad asignada. No obstante, el fabricante ha calificado esta vulnerabilidad con un 7.5 según la escala CVSSv3.

F5 no ha especificado ninguna medida de mitigación concreta para esta vulnerabilidad en caso de no ser posible aplicar las correspondientes actualizaciones. Para obtener más información es posible consultar el aviso del fabricante:

• https://support.f5.com/csp/article/K35750231

Recomendaciones:

El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los últimos parches de seguridad con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

En este caso se recomienda aplicar en cuanto sea posible las actualizaciones descritas para cada producto en los avisos proporcionados por F5 Networks y, en caso de no ser posible, poner en práctica las medidas de mitigación propuestas.

Referencias:

● K32121038: BIG-IP mcpd vulnerability CVE-2020-5876

● K03585731: F5 secure shell vulnerability CVE-2020-5873

● K43450419: TMM vulnerability CVE-2020-5871

● K63558580: BIG-IP crypto driver vulnerability CVE-2020-5872

● K46901953: BIG-IP APM virtual server vulnerability CVE-2020-5874

● K65372933: BIG-IP HTTP/2 vulnerability CVE-2020-5875

● K54200228: BIG-IP iRules vulnerability CVE-2020-5877

● K35750231: TMM vulnerability CVE-2020-5878

Atentamente,