Vulnerabilidad de omisión de autenticación en BIG-IP de F5

Fecha de publicación: 26/11/2019

Importancia:
Crítica

Recursos afectados:

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM), versiones:

• 15.x:
  • 15.0.1.0.33.11-ENG Hotfix;
  • 15.0.1.0.48.11-ENG Hotfix.
• 14.x:
  • 14.1.0.3.0.79.6-ENG Hotfix;
  • 14.1.0.3.0.97.6-ENG Hotfix;
  • 14.1.0.3.0.99.6-ENG Hotfix;
  • 14.1.0.5.0.15.5-ENG Hotfix;
  • 14.1.0.5.0.36.5-ENG Hotfix;
  • 14.1.0.5.0.40.5-ENG Hotfix;
  • 14.1.0.6.0.11.9-ENG Hotfix;
  • 14.1.0.6.0.14.9-ENG Hotfix;
  • 14.1.0.6.0.68.9-ENG Hotfix;
  • 14.1.0.6.0.70.9-ENG Hotfix;
  • 14.1.2.0.11.37-ENG Hotfix;
  • 14.1.2.0.18.37-ENG Hotfix;
  • 14.1.2.0.32.37-ENG Hotfix;
  • 14.1.2.1.0.46.4-ENG Hotfix;
  • 14.1.2.1.0.14.4-ENG Hotfix;
  • 14.1.2.1.0.16.4-ENG Hotfix;
  • 14.1.2.1.0.34.4-ENG Hotfix;
  • 14.1.2.1.0.97.4-ENG Hotfix;
  • 14.1.2.1.0.99.4-ENG Hotfix;
  • 14.1.2.1.0.105.4-ENG Hotfix;
  • 14.1.2.1.0.111.4-ENG Hotfix;
  • 14.1.2.1.0.115.4-ENG Hotfix;
  • 14.1.2.1.0.122.4-ENG Hotfix.

NOTA: esta vulnerabilidad afecta únicamente a los hotfixes de BIG-IP Engineering obtenidos del soporte de F5. Las versiones major, minor, o maintenance obtenidas de la web de descargas de F5 no se ven afectadas.

Descripción:

Las configuraciones BIG-IP que utilizan Active Directory, LDAP o Client Certificate LDAP para la autenticación de gestión con varios servidores están expuestas a esta vulnerabilidad, que permite una omisión de autenticación que puede causar un compromiso total del sistema.

Solución:

No hay actualización disponible para solucionar la vulnerabilidad. Para mitigar esta vulnerabilidad, F5 recomienda aplicar estas medidas:

• Deshabilitar cualquier autenticación LDAP remota para usuarios remotos.
• Configurar la autenticación LDAP remota con un único servidor de autenticación.
• Implementar controles de acceso estrictos basados en la dirección IP de origen de la interfaz de gestión del sistema BIG-IP.

Detalle:

Los usuarios remotos que se autentican en el sistema BIG-IP utilizando LDAP, Directorio Activo o Client Certificate LDAP, pueden iniciar sesión con credenciales incorrectas, pudiendo comprometer completamente el sistema BIG-IP. Se ha reservado el identificador CVE-2019-6675 para esta vulnerabilidad.

Etiquetas:
Vulnerabilidad