Vulnérabilités sur les produits F5 : appliquez rapidement les correctifs disponibles !

Vulnérabilités sur les produits F5 : appliquez rapidement les correctifs disponibles !

La semaine dernière, l’éditeur F5 a publié plusieurs mises à jour relatives à ses équipements BIG-IP et BIG-IQ. En effet, l’éditeur a identifié comme particulièrement critiques 4 failles de sécurité parmi les 21 vulnérabilités corrigées le 11 mars 2021.

Cette alerte F5 a d’ailleurs été reprise par le CISA, l’équivalent américain de l’ANSSI.

Différentes raisons justifient cette évaluation et l’application des recommandations de F5 quant à la nécessité d’installer rapidement les mises à jour proposées.

Premièrement, les produits F5 sont implémentés dans des entreprises de tous secteurs et notamment les domaines des télécoms, de la santé, de la finance et gouvernementaux. BIG-IP est utilisé par les entreprises afin de faire de :

  • La répartition de charge
  • La gestion de trafic
  • La gestion d’application et de données
  • Et bien d’autres choses…

BIG-IQ quant à elle est une solution permettant une gestion simplifiée des multiples appliances BIG-IP pouvant être présente au sein d’un système.

Il s’agit donc de composant d’infrastructure, utilisés couramment par les entreprises, et portant des services sensibles pour ces dernières.

Deuxièmement, les 2 failles référencées CVE-2021-22986 (exploitable après authentification) et CVE-2021-22987 (exploitable sans authentification préalable) impactent les outils d’administration des équipements BIG-IP et BIG-IQ, et plus particulièrement les composants « iControl REST » et « Traffic Management User Interface (TMUI) ». Ces vulnérabilités ont été évaluées avec un score CVSS de 9,8 et 9,9 ; et peuvent être exploitée par un attaquant disposant simplement d’un accès réseau de prendre le contrôle complet du système.

Deux autres failles, référencées CVE-2021-22991 et CVE-2021-22992 disposent d’un score CVSS moindre (9.0) et impactent les composant baptisés « Traffic Management Microkernel (TMM) » et « Advanced WAF/ASM virtual servers ». L’exploitation de ces failles résulte en un déni de service. Néanmoins, la possibilité d’aller jusqu’à la compromission complète du système n’est pas écartée par F5.

Ainsi, un attaquant parvenant à exploiter ces vulnérabilités et à prendre le contrôle d’un appareil vulnérable serait en mesure de modifier sa configuration et d’exposer le Système d’Information à d’autres attaques (DDoS, envoie de requêtes malveillantes, etc.), opportunistes ou non. 

Toutes ces vulnérabilités ont été corrigées par F5 et sont disponibles auprès de leur support à l’adresse : https://login.f5.com/resource/login.jsp.

Une seule solution, appliquez rapidement les correctifs disponibles !

Le CERT-XMCO recommande l’installation des versions suivantes :

De BIG-IP:

  • 0.1.1
  • 1.2.1
  • 1.4
  • 1.3.6
  • 1.5.3
  • 6.5.3

De BIG-IQ :

  • 8.0.0
  • 7.1.0.3
  • 7.0.0.2

Vulnérables : Les produits F5 BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO) :

  • 16.0.x <= 16.0.1
  • 15.1.x <= 15.1.2
  • 14.1.x <= 14.1.3
  • 13.1.x <= 13.1.3
  • 12.1.x <= 12.1.5
  • 6.x <= 11.6.5

Les produits F5 BIG-IQ :

  • 7.1.0 < 7.1.0.3
  • 7.0.0 < 7.0.0.2
  • 6.0.0 <= 6.1.0

Références :


Paloma Siggini