Vulnérabilités au sein de plusieurs produits F5
Date de publication :
CVE-2021-23025 [Score CVSS v3 : 8.8 ]
Une vulnérabilité pouvant permettre une exécution de commande à distance authentifiée au sein de la section Configuration de F5 BIG-IP.
CVE-2021-23026 [Score CVSS v3 : 8.8 ]
BIG-IP et BIG-IQ sont vulnérables aux attaques de type CSRF (cross-site request forgery) via iControl SOAP.
CVE-2021-23027 [Score CVSS v3 : 6.1 ]
Une vulnérabilité de type XSS (cross-site scripting) dans une page non divulguée de l'utilitaire de configuration BIG-IP. Son exploitation peut permettre à un attaquant d'exécuter du code JavaScript arbitraire dans le contexte de l'utilisateur actuellement connecté.
CVE-2021-23028 [Score CVSS v3 : 7.5]
Lorsque des profils de contenu JSON sont configurés pour des URLs dans le cadre d'une politique de sécurité F5 Advanced Web Application Firewall (WAF)/BIG-IP ASM et appliqués à un serveur virtuel, les requêtes sur ces URLs non divulguées peuvent provoquer l'arrêt du processus bd de BIG-IP ASM.
CVE-2021-23029 [Score CVSS v3 : 8.8 ]
Des contrôles de permission insuffisants peuvent permettre à un attaquant authentifié en tant qu’invité d'effectuer des attaques de type SSRF (Server-Side Request Forgery) via le pare-feu d'application Web (WAF) avancé de F5 et l'utilitaire de configuration ASM de BIG-IP.
CVE-2021-23030, CVE-2021-23033 [Score CVSS v3 : 7.5 ]
Lorsqu'un profil WebSocket est configuré sur un serveur virtuel, des requêtes non divulguées peuvent provoquer l'arrêt du processus bd.
CVE-2021-23031 [Score CVSS v3 : 9.9 ]
Un attaquant authentifié peut être en mesure d’élever ses privilèges sur l'interface TMUI de BIG-IP Advanced WAF et ASM.
CVE-2021-23032 [Score CVSS v3 : 7.5 ]
Lorsqu'un système DNS BIG-IP est configuré avec des paramètres d'IP spécifique et de pool autres que ceux par défaut, des réponses DNS non divulguées peuvent provoquer l'arrêt du Traffic Management Microkernel (TMM).
CVE-2021-23034 [Score CVSS v3 :7.5 ]
Lorsqu'un profil DNS utilisant un résolveur de cache est configuré sur un serveur virtuel, les demandes non divulguées peuvent provoquer l'arrêt du processus Traffic Management Microkernel (TMM).
CVE-2021-23035 [Score CVSS v3 : 7.5 ]
Lorsqu'un profil HTTP est configuré sur un serveur virtuel, après une séquence spécifique de paquets, les réponses fragmentées peuvent provoquer l'arrêt du Traffic Management Microkernel (TMM).
CVE-2021-23036 [Score CVSS v3 : 7.5 ]
Lorsque BIG-IP ASM et un profil DataSafe sont configurés sur un serveur virtuel, des requêtes non divulguées peuvent provoquer l'arrêt du Traffic Management Microkernel (TMM).
CVE-2021-23037 [Score CVSS v3 : 9.6 ] : Une vulnérabilité de type cross-site scripting (XSS) existe dans une page non divulguée de l'utilitaire de configuration BIG-IP qui permet à un attaquant d'exécuter du code JavaScript arbitraire avec les privilèges de l'utilisateur actuellement connecté.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de commandes
- Exécution de code arbitraire
- Déni de service
Criticité
- Scores CVSS v3 : 9.9 max
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- F5 BIG-IP versions 16.0.0 jusqu’à 16.0.1
- F5 BIG-IP versions 15.1.0 jusqu’à 15.1.2
- F5 BIG-IP versions 14.1.0 jusqu’à 14.1.4
- F5 BIG-IP versions 13.1.0 jusqu’à 13.1.4
- F5 BIG-IP versions 12.1.0 jusqu’à 12.1.6
- F5 BIG-IP versions 11.6.1 jusqu’à 11.6.5
- F5 BIG-IQ versions 8.0.0 jusqu’à 8.1.0
- F5 BIG-IQ versions 7.0.0 jusqu’à 7.1.0
- F5 BIG-IQ versions 6.0.0 jusqu’à 6.1.0
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les logiciels impactés conformément aux instructions de l’éditeur F5.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.