Vulnerabilidad de omisión de autenticación en BIG-IP de F5
Fecha de publicación: 26/11/2019
Importancia:
Crítica
Recursos afectados:
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM), versiones:
- 15.x:
- 15.0.1.0.33.11-ENG Hotfix;
- 15.0.1.0.48.11-ENG Hotfix.
- 14.x:
- 14.1.0.3.0.79.6-ENG Hotfix;
- 14.1.0.3.0.97.6-ENG Hotfix;
- 14.1.0.3.0.99.6-ENG Hotfix;
- 14.1.0.5.0.15.5-ENG Hotfix;
- 14.1.0.5.0.36.5-ENG Hotfix;
- 14.1.0.5.0.40.5-ENG Hotfix;
- 14.1.0.6.0.11.9-ENG Hotfix;
- 14.1.0.6.0.14.9-ENG Hotfix;
- 14.1.0.6.0.68.9-ENG Hotfix;
- 14.1.0.6.0.70.9-ENG Hotfix;
- 14.1.2.0.11.37-ENG Hotfix;
- 14.1.2.0.18.37-ENG Hotfix;
- 14.1.2.0.32.37-ENG Hotfix;
- 14.1.2.1.0.46.4-ENG Hotfix;
- 14.1.2.1.0.14.4-ENG Hotfix;
- 14.1.2.1.0.16.4-ENG Hotfix;
- 14.1.2.1.0.34.4-ENG Hotfix;
- 14.1.2.1.0.97.4-ENG Hotfix;
- 14.1.2.1.0.99.4-ENG Hotfix;
- 14.1.2.1.0.105.4-ENG Hotfix;
- 14.1.2.1.0.111.4-ENG Hotfix;
- 14.1.2.1.0.115.4-ENG Hotfix;
- 14.1.2.1.0.122.4-ENG Hotfix.
NOTA: esta vulnerabilidad afecta únicamente a los hotfixes de BIG-IP Engineering obtenidos del soporte de F5. Las versiones major, minor, o maintenance obtenidas de la web de descargas de F5 no se ven afectadas.
Descripción:
Las configuraciones BIG-IP que utilizan Active Directory, LDAP o Client Certificate LDAP para la autenticación de gestión con varios servidores están expuestas a esta vulnerabilidad, que permite una omisión de autenticación que puede causar un compromiso total del sistema.
Solución:
No hay actualización disponible para solucionar la vulnerabilidad. Para mitigar esta vulnerabilidad, F5 recomienda aplicar estas medidas:
- Deshabilitar cualquier autenticación LDAP remota para usuarios remotos.
- Configurar la autenticación LDAP remota con un único servidor de autenticación.
- Implementar controles de acceso estrictos basados en la dirección IP de origen de la interfaz de gestión del sistema BIG-IP.
Detalle:
Los usuarios remotos que se autentican en el sistema BIG-IP utilizando LDAP, Directorio Activo o Client Certificate LDAP, pueden iniciar sesión con credenciales incorrectas, pudiendo comprometer completamente el sistema BIG-IP. Se ha reservado el identificador CVE-2019-6675 para esta vulnerabilidad.
Etiquetas:
Vulnerabilidad
Powered by WPeMatico