Noticias

Vulnerabilidad de omisión de autenticación en BIG-IP de F5

Fecha de publicación: 26/11/2019

Importancia:
Crítica

Recursos afectados:

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM), versiones:

  • 15.x:
    • 15.0.1.0.33.11-ENG Hotfix;
    • 15.0.1.0.48.11-ENG Hotfix.
  • 14.x:
    • 14.1.0.3.0.79.6-ENG Hotfix;
    • 14.1.0.3.0.97.6-ENG Hotfix;
    • 14.1.0.3.0.99.6-ENG Hotfix;
    • 14.1.0.5.0.15.5-ENG Hotfix;
    • 14.1.0.5.0.36.5-ENG Hotfix;
    • 14.1.0.5.0.40.5-ENG Hotfix;
    • 14.1.0.6.0.11.9-ENG Hotfix;
    • 14.1.0.6.0.14.9-ENG Hotfix;
    • 14.1.0.6.0.68.9-ENG Hotfix;
    • 14.1.0.6.0.70.9-ENG Hotfix;
    • 14.1.2.0.11.37-ENG Hotfix;
    • 14.1.2.0.18.37-ENG Hotfix;
    • 14.1.2.0.32.37-ENG Hotfix;
    • 14.1.2.1.0.46.4-ENG Hotfix;
    • 14.1.2.1.0.14.4-ENG Hotfix;
    • 14.1.2.1.0.16.4-ENG Hotfix;
    • 14.1.2.1.0.34.4-ENG Hotfix;
    • 14.1.2.1.0.97.4-ENG Hotfix;
    • 14.1.2.1.0.99.4-ENG Hotfix;
    • 14.1.2.1.0.105.4-ENG Hotfix;
    • 14.1.2.1.0.111.4-ENG Hotfix;
    • 14.1.2.1.0.115.4-ENG Hotfix;
    • 14.1.2.1.0.122.4-ENG Hotfix.

NOTA: esta vulnerabilidad afecta únicamente a los hotfixes de BIG-IP Engineering obtenidos del soporte de F5. Las versiones major, minor, o maintenance obtenidas de la web de descargas de F5 no se ven afectadas.

Descripción:

Las configuraciones BIG-IP que utilizan Active Directory, LDAP o Client Certificate LDAP para la autenticación de gestión con varios servidores están expuestas a esta vulnerabilidad, que permite una omisión de autenticación que puede causar un compromiso total del sistema.

Solución:

No hay actualización disponible para solucionar la vulnerabilidad. Para mitigar esta vulnerabilidad, F5 recomienda aplicar estas medidas:

Detalle:

Los usuarios remotos que se autentican en el sistema BIG-IP utilizando LDAP, Directorio Activo o Client Certificate LDAP, pueden iniciar sesión con credenciales incorrectas, pudiendo comprometer completamente el sistema BIG-IP. Se ha reservado el identificador CVE-2019-6675 para esta vulnerabilidad.

Encuesta valoraciĂ³n

Etiquetas:
Vulnerabilidad

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.