Multiples vulnérabilités dans des produits F5

Date de publication :

iControl est l’interface de programmation d’application utilisé par Big-IP et Big-IQ. La version courante utilise REpresentational State Transfer et se nomme iControl REST.

CVE-2022-35243[Score CVSS v3.1: 8.7]
Un défaut dans le mode "Appliance" permet à un attaquant authentifié possédant le rôle "Administrator" de contourner les restrictions de sécurité du mode.

CVE-2022-35728[Score CVSS v3.1: 8.1
Un défaut dans la durée de vie d'un jeton utilisé dans l'interface REST d'iControl et généré depuis les options de configuration permet à un attaquant distant et non authentifié, en utilisant le jeton d’un autre utilisateur, d’exécuter du code arbitraire sur le système ou de créer et supprimer des documents sur le système.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Contournement de la politique de sécurité

Criticité

  • Score CVSS v3.1: 8.7 max

La faille est activement exploitée

  • Non, pour l’ensemble des CVE présentées.

Un correctif existe

  • Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

  • Oui, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

CWE-269: Improper Privilege Management

CWE-613: Insufficient Session Expiration

Détails sur l’exploitation

Pour la CVE-2022-35243

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification compte administrateur.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-35728

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Elevé.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Pour la CVE-2022-35243

  • Big-IP versions 16.1.0 à 16.1.2
  • Big-IP versions 15.1.0 à 15.1.5
  • Big-IP versions 14.1.0 à 14.1.4
  • Big-IP versions 13.1.0 à 13.1.5

Pour la CVE-2022-35728

  • Big-IP version 17.0.0
  • Big-IP versions 16.1.0 à 16.1.3
  • Big-IP versions 15.1.0 à 15.1.6
  • Big-IP versions 14.1.0 à 14.1.5
  • Big-IP versions 13.1.0 à 13.1.5
  • Big-IQ Centralized Management versions 8.0.0 à 8.1.0
  • Big-IQ Centralized Management versions 7.0.0 à 7.1.0

Solutions ou recommandations

  • Mettre à jour Big-IP vers les versions 17.0.0.1, 16.1.3.1, 15.1.6.1, 14.1.5.1 ou à une version supérieure

  • Mettre à jour Big-IQ Centralized Management vers la version 8.2.0

  • Si une mise à jour n’est pas possible, F5 conseille de bloquer iControl Rest (voir ici ou ici pour plus d’informations)

Liens