Une vulnérabilité critique découverte dans le firewall F5 BIG-IP
Date de publication :
Une vulnérabilité considérée comme critique a été découverte dans le système BIG-IP ASM (Application Security Manager) de F5, qui est une solution de pare-feu applicatif. Cette vulnérabilité pourrait permettre à un attaquant de découvrir des informations sensibles sur la configuration du pare-feu, voire même de modifier celle-ci.
Détails techniques :
- CVE-2019-6650 [Score CVSSv3 9.1] : Le pare-feu est vulnérable si dans les options des plages IP concernant les ports, l’option « Allow All » est activée, ce qui n’est pas le cas par défaut. De plus, la vulnérabilité ne concerne que les BIG-IP ASM sur les systèmes multi-tenants (VIPRION). Un attaquant peut venir se connecter aux interfaces affectées pour extraire des informations sensibles sur le système et les modifier.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
- Divulgation d’information
- Modification de configuration
Criticité
- Score CVSS : 9.1 (score de la vulnérabilité la plus critique)
Existence d’un code d’exploitation de la vulnérabilité
- Aucun code d’exploitation n’est disponible.
Composants & versions vulnérables
- BIG-IP (ASM) 15.0.0
- BIG-IP (ASM) 14.1.0
- BIG-IP (ASM) 14.0.0
- BIG-IP (ASM) 13.1.0 - 13.1.1
- BIG-IP (ASM) 12.1.0 – 12.1.4
- BIG-IP (ASM) 11.6.1 – 11.6.4
- BIG-IP (ASM) 11.5.2 – 11.5.9
CVE
- CVE-2019-6650
Solutions ou recommandations
Mise en place de correctif de sécurité
- BIG-IP (ASM) 15.0.1
- BIG-IP (ASM) 14.1.2
- BIG-IP (ASM) 14.0.1
- BIG-IP (ASM) 13.1.3
- BIG-IP (ASM) 12.1.5
- BIG-IP (ASM) 11.6.5
- BIG-IP (ASM) 11.5.10
Solution de contournement
- F5 propose, si il n’est pas possible de mettre à jour le système, de modifier l’option « Allow All » dans le contrôle des ports sur les plages IP à « Allow None » ou « Allow Default ». Pour ajouter des ports additionnels, utiliser l’option « Allow Custom ».