Vulnérabilité dans F5 BIG-IQ

Date de publication :

Une vulnérabilité a été découverte dans F5 BIG-IQ, un outil d’administration pour les produits BIG-IP. Elle peut permettre à un attaquant de lire et modifier des données.

CVE-2020-5869 [Score CVSS v3 : 7.4] : La synchronisation pour haute disponibilité BIG-IQ n’est pas sécurisée par TLS ce qui peut permettre à un attaquant de lire et modifier des données potentiellement sensibles.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Atteinte à l’intégrité des données
  • Atteinte à la confidentialité des données

Criticité

  • Score CVSS v3 : 7.4

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement

Composants vulnérables

  • F5 BIG-IQ Centralized Management 7.0.0, 6.0.0 - 6.1.0 et 5.2.0 - 5.4.0

CVE

  • CVE-2020-5869

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour F5 BIG-IQ Centralized Management vers la version 7.1.0

Solution de contournement

  • Si la mise à jour n’est pas possible, il est conseillé de sécuriser du mieux possible le réseau de découverte (réseau utilisé par BIG-IQ pour communiquer avec les produits BIG-IP managés) 

Liens