Aviso del 5 de marzo: Vulnerabilidad en REST y tmsh de BIG-IP iControl [CVE-2025-20029].
Compartir
Fecha de divulgación (fuente): 5 de febrero de 2025 (PdC disponible el 23 de febrero de 2025)
CVE-2025-20029 es una vulnerabilidad de alta gravedad que afecta a la interfaz interfaz REST de iControl y TMOS Shell (tmsh) del sistema BIG-IP de F5, con una puntuación CVSS de 8,7. Una explotación exitosa permite a un atacante autenticado ejecutar comandos arbitrarios del sistema, potencialmente conduciendo a un acceso a nivel de raíz de la plataforma BIG-IP.
Actualmente no hay pruebas de que esta vulnerabilidad esté siendo explotada activamente. Sin embargo, se ha publicado una prueba de concepto (PoC) disponible públicamente aquí en GitHub, lo que aumenta la probabilidad de que esta vulnerabilidad pueda ser explotada por agentes de amenazas en el futuro.
El PoC compartido anteriormente demuestra cómo un atacante autenticado como una cuenta de bajo privilegio (por ejemplo, auditor ) puede ejecutar comandos arbitrarios del sistema como la cuenta 'root'. El exploit aprovecha tmsh como guardarque pueden ejecutarse con privilegios elevados que permiten a un atacante realizar cambios en el sistema subyacente.
Esta vulnerabilidad ha sido parcheada por F5 a través de múltiples versiones. Además, en el del fabricante recomienda que los usuarios consideren implementar uno o más de los pasos de mitigación que se indican a continuación para asegurar el acceso a la plataforma iControl REST y a la interfaz tmsh:
- Bloquear el acceso REST de iControl a través de la interfaz de gestión a usuarios de confianza
- Restringir el acceso a la línea de comandos de BIG-IP a través de SSH
- Bloquear el acceso SSH a través de direcciones IP propias
- Bloquear el acceso SSH a través de la interfaz de gestión
| Campo | Detalles | |||||
|---|---|---|---|---|---|---|
| CVE-ID | CVE-2025-20029 - CVSS 8.7 (alto) - asignado por F5 Networks | |||||
| Descripción de la vulnerabilidad | Una vulnerabilidad de inyección de comandos en todos los módulos de la plataforma BIG-IP de F5 que tiene como objetivo la interfaz REST de iControl y tmsh . Un usuario con pocos privilegios puede aprovechar los comandos para saltarse las restricciones, inyectar comandos arbitrarios y realizar acciones como usuario "root" del sistema de destino. | |||||
| Fecha de divulgación | 5 de febrero de 2025 (PdC publicado el 23 de febrero de 2025) | |||||
| Activos afectados | Interfaz REST de iControl y tmsh de F5 BIG-IP Platform (todos los módulos). | |||||
| Versiones de software vulnerables | Están afectadas las siguientes versiones de F5 BIG-IP (todos los módulos):
|
|||||
| ¿PoC disponible? | Una PoC está disponible públicamente aquí. | |||||
| Estado de explotación | No observamos esta vulnerabilidad en la lista de vulnerabilidades explotadas conocidas de CISA ni en GreyNoise en el momento de escribir este artículo. | |||||
| Estado del parche | F5 Networks ha introducido una corrección en cada una de las siguientes versiones:
|
|||||
Censys Perspectiva
En el momento de redactar este informe, Censys observó 1,124 (excluyendo hosts virtuales) instancias expuestas de la Utilidad de configuración de F5 BIG-IP, 30% de las cuales están geolocalizadas en Estados Unidos. Tenga en cuenta que no todas las instancias observadas son vulnerables, ya que no disponemos de versiones específicas.
Además, vimos que 437,204 dispositivos parecen estar utilizando BIG-IP para el equilibrio de carga y otros servicios modulares proporcionados por la plataforma BIG-IP. Estos dispositivos se asociaron con BIG-IP basándose en las cookies de sesión identificadas en las cabeceras de respuesta que son indicativas del uso de BIG-IP. Sin embargo, estos dispositivos no están necesariamente expuestos a la vulnerabilidad, ya que BIG-IP suele funcionar como proxy entre el cliente y el servidor.
Mapa de Instancias Expuestas de Utilidades de Configuración F5 BIG-IP:
services.software: (vendor= "F5" and product: "IP Configuration Utility") and not labels: {honeypot, tarpit}
Consulta de la plataforma Censys :
host.services.software: (vendor: "F5" and product: "IP Configuration Utility") and not host.labels.value: {"HONEYPOT", "TARPIT"}
host.services.software: (vendor= "F5" and product: "IP Configuration Utility") and not host.labels: {honeypot, tarpit}
