Esta vulnerabilidad permite a los atacantes no autenticados, o usuarios autenticados, con acceso de red a TMUI, a través del puerto de administración BIG-IP y / o Self IPs, ejecutar comandos arbitrarios del sistema, crear o eliminar archivos, deshabilitar servicios y / o ejecutar arbitrariamente Código Java.
Esta vulnerabilidad puede resultar en un compromiso completo del sistema. El sistema BIG-IP en modo Appliance también es vulnerable. Este problema no está expuesto en el plano de datos; solo se ve afectado el plano de control.
Versiones Afectadas
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM), versiones:
• 15.1.0 y 15.0.0
• desde 14.1.0 hasta 14.1.2
• desde 13.1.0 hasta 13.1.3
• desde 12.1.0 hasta 12.1.5
• desde 11.6.1 hasta 11.6.5
Recomendaciones
Actualizar los productos afectados a alguna de las siguientes versiones:
• 15.1.0.4
• 14.1.2.6
• 13.1.3.4
• 12.1.5.2
• 11.6.5.2
Mitigación
F5 recomienda actualizar a una versión de software para mitigar completamente esta vulnerabilidad.
Si está aprovechando los mercados de la nube pública (AWS, Azure, GCP y Alibaba) para implementar BIG-IP Virtual Edition (VE), F5 recomienda actualizar a las últimas versiones de BIG-IP que figuran en las correcciones introducidas en la columna sujeta a su disponibilidad en esos mercados.
Si no es posible actualizar en este momento, puede usar las siguientes secciones como mitigaciones temporales:
Inicie sesión en TMOS Shell ( tmsh ) ingresando el siguiente comando:
tmsh
Edite las propiedades httpd ingresando el siguiente comando:
edit /sys httpd all-properties
Localice la sección de inclusión y agregue lo siguiente:
include ‘
<LocationMatch “.*\.\.;.*”>
Redirect 404 /
</LocationMatch>
‘
<LocationMatch “.*\.\.;.*”>
Redirect 404 /
</LocationMatch>
‘
Escriba y guarde los cambios en el archivo de configuración ingresando los siguientes comandos:
Esc
:wq!
:wq!
Guarde la configuración ingresando el siguiente comando:
save /sys config
Reinicie el servicio httpd ingresando el siguiente comando:
restart sys service httpd
