La red F5 es un producto Big-IP que se ejecuta en el modo de aparato que revela la vulnerabilidad de inyección de comandos de alta resistencia (CVE-2025-31644).
La vulnerabilidad existe en los puntos finales de descanso de Icontrol privado y los comandos Big-IP TMOS Shell (TMSH), lo que permite a los atacantes evitar las restricciones de seguridad en el modo de aparato.
Los defectos clasificados como CWE-78 (neutralización inadecuada de elementos especiales utilizados en los comandos del sistema operativo) calificaron una puntuación CVSS v3.1 de 8.7 y una puntuación CVSS v4.0 de 8.5 como severidad de “alto”
“Esta vulnerabilidad de inyección de comando permite que un atacante autenticado cruzara perímetros de seguridad y ejecute cualquier comando de Shell (BASH) avanzado”, dijo F5 en su aviso de seguridad.
La vulnerabilidad afecta las versiones Big-IP 17.1.0-17.1.2, 16.1.0-16.1.5 y 15.1.0-15.1.10.
Inyección de comando F5 con comando Big-IP “Save”
El investigador de seguridad Matei “Mal” Badanoiu de Deloitte ha descubierto que el parámetro “Archivo” del comando “Guardar” es particularmente vulnerable a los ataques de inyección de comandos.
Si se explota, la vulnerabilidad permite que un atacante manipule la sintaxis del comando para aumentar los privilegios y realizar operaciones no deseadas.
Un exploit de prueba de concepto publicado en GitHub muestra cómo un atacante puede usar Meta caracteres de Shell para crear comandos maliciosos para dividir las operaciones legales e insertar comandos arbitrarios.
Esto le pedirá que termine el comando Guardar temprano con \}. Use la secuencia para realizar una llamada del sistema a través de la ID de Bash-C para imprimir la raíz Ejecutar que verifica la ID del usuario actual.
La vulnerabilidad solo es explotada por los atacantes con credenciales de administrador válidas y acceso a la red a los puntos finales de descanso de Icontrol afectados o el acceso local a los comandos TMSH afectados.
La superficie de ataque se limita a usuarios autenticados, pero el impacto potencial sigue siendo importante ya que los usuarios privilegiados pueden ejecutar comandos más allá de su nivel previsto de aprobación.
Al explotar con éxito, el atacante permite:
Ejecute cualquier comando del sistema utilizando privilegios raíz. Crear o eliminar archivos a través del puerto de administración Big-IP. Acceda a su dirección de autop. Evite las restricciones de seguridad para el modo de aparato.
Los expertos en seguridad señalan que no hay exposición al plano de datos. Esto significa que las vulnerabilidades se limitan solo al plano de control.
Detalles del factor de riesgo AfteCectectEdected ProductsBig-IP Versión: 17.1.0-17.1.216.1.0-16.1.515.1.0-15.1.10Impactactraly Los comandos del sistema son los comandos del sistema como un requisito previo para reotexploit-credenciales de administrador válidos-Acceso 3.1 Puntuación 8.7 Para ICONTROL REST API o TMSH Shelcvsss
reparar
F5 lanzó parches para las versiones afectadas: 17.1.2.2, 16.1.6 y 15.1.10.7. Las organizaciones se recomiendan altamente actualizadas de estas versiones parcheadas de inmediato.
Para los sistemas que no se pueden parchear de inmediato, F5 recomienda implementar una mitigación temporal.
Bloquee el acceso al descanso Icontrol a través de la dirección de AutoP cambiando la configuración de bloqueo del puerto y cambiando “Ninguno”. Bloquea el acceso al descanso Icontrol a través de la interfaz de administración. Limite solo el acceso SSH a redes de confianza. Use el filtrado de paquetes para restringir el acceso a un rango IP específico.
“Este ataque es llevado a cabo por usuarios de rol de administrador legítimamente autenticados, por lo que no existe una mitigación viable que permita a los usuarios acceder al sistema Big-IP. La única mitigación es eliminar el acceso de los usuarios que no se confían completamente”, aconsejó F5.
Las organizaciones que usan F5 Big-IP deben evaluar inmediatamente la exposición e implementar parches o mitigaciones requeridas para proteger su entorno contra esta vulnerabilidad crítica.
Cómo los piratas informáticos de simulación de ataque de vulnerabilidad sondean rápidamente sitios web de puntos de entrada: seminario web gratuito
