F5 publie des correctifs pour plusieurs vulnérabilités critiques sur BIG-IP

Spread the love
  • Yum

F5 publie des correctifs pour plusieurs vulnérabilités critiques sur BIG-IP

F5 Networks a publié des correctifs pour corriger quatre vulnérabilités critiques dans BIG-IP, dont l’une peut être exploitée pour des attaques non authentifiées par exécution de code à distance (RCE).

Les applications BIG-IP sont des suites logicielles modulaires d’entreprise conçues pour la diffusion de données et d’applications, l’équilibrage de charge, la gestion du trafic et d’autres fonctions commerciales.

publicité

F5 affirme que 48 des 50 sociétés de l’index Fortune 50 utilisent ses solutions. Les gouvernements, les entreprises de télécommunications, les services financiers et les prestataires de soins de santé figurent parmi ses clients.

L’avis de sécurité de F5, publié mercredi, décrit sept failles de sécurité ayant un impact sur les déploiements de BIG-IP et BIG-IQ.

Les plus graves sont CVE-2021-22986 et CVE-2021-22987 qui ont reçu des scores de gravité CVSS de 9,8 et 9,9, respectivement.

CVE-2021-22986 est une faille de type RCE (Remote Code Execution, exécution de code à distance, ndlr) non authentifié qui affecte l’interface de gestion BIG-IP.

“La vulnérabilité permet à des attaquants non authentifiés ayant un accès réseau à l’interface REST iControl, via l’interface de gestion BIG-IP et des adresses IP autonomes, d’exécuter des commandes système arbitraires, de créer ou de supprimer des fichiers et de désactiver des services”, indique F5. ” Cette vulnérabilité ne peut être exploitée que par le plan de contrôle et ne peut pas être exploitée par le plan de données. L’exploitation peut conduire à une compromission complète du système. Le système BIG-IP en mode Appliance est également vulnérable.”

CVE-2021-22987 a également un impact sur le mode Appliance lorsque l’interface utilisateur de gestion du trafic (TMUI) de BIG-IP est en cours d’exécution. Les utilisateurs authentifiés capables d’accéder à TMUI peuvent exploiter le bug pour exécuter des commandes, altérer des fichiers et désactiver des services.

“L’exploitation peut conduire à la compromission complète du système”, ajoute F5.

En plus de ces failles de sécurité, F5 corrige également CVE-2021-22991 et CVE-2021-22992, des bugs critiques de débordement de tampon ayant un impact sur le Traffic Management Microkernel (TMM) et les serveurs virtuels Advanced WAF/ASM. Les deux vulnérabilités ont reçu un score de sévérité de 9.0.

Trois autres vulnérabilités ont également été résolues ; CVE-2021-22988, CVE-2021-22989, et CVE-2021-22990. Celles-ci ont obtenu des scores CVSS de 8.8, 8.0, et 6.6 et pouvaient être exploitées à des fins d’exécution de commandes à distance dans les composants TMUI.

Kara Sprague, vice-président senior de l’unité commerciale Application Delivery Controller (ADC) de F5, a déclaré que “[les vulnérabilités] affectent tous les clients et instances de BIG-IP et BIG-IQ”.

“Nous exhortons tous les clients à mettre à jour leurs déploiements BIG-IP et BIG-IQ vers les versions corrigées dès que possible”, a ajouté le dirigeant.

Les vulnérabilités ont été corrigées dans les versions 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 et 11.6.5.3 de BIG-IP. CVE-2021-22986 affecte également BIG-IQ et est corrigé dans les versions 8.0.0, 7.1.0.3, et 7.0.0.2.

14 CVEs sans lien avec ces failles ont également été annoncés.

En juillet 2020, F5 a corrigé une vulnérabilité d’exécution de code à distance dans BIG-IP, identifiée sous le nom de CVE-2020-5902, qui a reçu un score de gravité CVSS de 10.0.

Découvert par Mikhail Klyuchnikov, un chercheur de Positive Technologies, le bug impactait lui aussi le composant TMUI de BIG-IP et permettait à des attaquants non authentifiés de compromettre à distance les interfaces TMUI.

Quelques jours seulement après la divulgation du bug, les acteurs malveillants ont commencé à lancer des attaques contre des installations BIG-IP exposées sur Internet. F5 avait alors averti que “si l’interface TMUI est exposée à Internet et qu’une version corrigée du logiciel n’est pas installée, il est fort probable qu’elle ait été compromise et vous devez appliquer vos procédures internes de réponse aux incidents”.

Source : “ZDNet.com”

Leave a Reply

%d bloggers like this: