Vulnérabilités critiques dans F5

Date de publication :

CVE-2022-1388[Score CVSS v3.1 : 9.8] (critique)
Une erreur de validation des entrées dans F5 BIG-IP permet à un attaquant, grâce à l’envoi de requêtes spécialement forgées, d’exécuter du code arbitraire sur le système, d’écraser des données ou de provoquer un déni de service.

CVE-2022-28695[Score CVSS v3.1 : 9.1] (critique)
Une faille dans F5 BIG-IP permet à un attaquant authentifié en tant qu’administrateur, par le biais du téléchargement d’un fichier spécialement forgé, d’exécuter du code arbitraire sur le système, d’écraser des données ou de provoquer un déni de service.

CVE-2022-25946[Score CVSS v3.1 : 8.7]
Un défaut de plan de contrôle dans le mode Appliance de F5 BIG-IP aux versions Advanced WAF, APM, ASM et GC, permet à un attaquant distant authentifié en mode administrateur d’effectuer une injection de commande dans des URI. Grâce à cette manœuvre, l’attaquant peut alors contourner les restrictions du mode Appliance.

CVE-2022-27806[Score CVSS v3.1 : 8.7]
Un défaut de plan de contrôle dans le mode Appliance de F5 BIG-IP permet à un attaquant distant authentifié en mode administrateur d’effectuer une injection de commande dans des URI. Par le biais de cette manœuvre, l’attaquant peut alors contourner les restrictions du mode Appliance.

CVE-2022-28707[Score CVSS v3.1 : 8]
Une erreur de validation des entrées fournies par l’utilisateur permet à un attaquant d’injecter un script forgé dans une page Web exécutée dans le navigateur Internet d'une victime. L’exploitation de cette faille permet, grâce aux cookies, de dérober les identifiants d'authentification de la cible.

CVE-2022-29263[Score CVSS v3.1 : 7.8]
Un défaut lors de l’enregistrement des fichiers temporaires par le service d'installation du composant client permet à un attaquant d’élever ses privilèges.

CVE-2022-26415[Score CVSS v3.1 : 7.7]
Une faille dans un point de terminaison iControl REST de F5 BIG-IP permet à un attaquant distant, grâce à l’envoi d’une requête forgée, de contourner les restrictions du mode Appliance.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Déni de service
  • Contournement de la politique de sécurité
  • Elévation de privilèges
  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données

Criticité

  • Score CVSS v3.1: 9.8 max  (critique)

La faille est activement exploitée

Un correctif existe

  • Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

  • Oui, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

CWE-306: Missing Authentication for Critical Function

CWE-20: Improper Input Validation

CWE-354: Improper Validation of Integrity Check Value

CWE-77: Improper Neutralization of Special Elements used in a Command

CWE-79: Improper Neutralization of Input During Web Page Generation

CWE-732: Incorrect Permission Assignment for Critical Resource

Détails sur l’exploitation

Pour la CVE-2022-1388

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour les CVE-2022-28695, CVE-2022-25946 et CVE-2022-27806

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification compte administrateur.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-28707

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-29263

  • Vecteur d’attaque : Local.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Pour la CVE-2022-26415

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Elevée.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification compte administrateur.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Pour la CVE-2022-1388

  • F5 BIG-IP 16.1.0 à 16.1.2
  • F5 BIG-IP 15.1.0 à 15.1.5
  • F5 BIG-IP 14.1.0 à 14.1.4
  • F5 BIG-IP 13.1.0 à 13.1.4
  • F5 BIG-IP 12.1.0 à 12.1.6
  • F5 BIG-IP 11.6.1 à 11.6.5

Pour la CVE-2022-28695

  • F5 BIG-IP 16.1.0 à 16.1.2
  • F5 BIG-IP 15.1.0 à 15.1.5
  • F5 BIG-IP 14.1.0 à 14.1.4
  • F5 BIG-IP 13.1.0 à 13.1.4

Pour les CVE-2022-25946 et CVE-2022-27806

  • BIG-IP (GC) 8.0
  • BIG-IP (GC) 7.0
  • BIG-IP (GC) 6.0
  • BIG-IP (GC) 5.0
  • BIG-IP (GC) 4.1
  • BIG-IP (GC) 3.0
  • BIG-IP (Advanced WAF, APM, ASM) 16.1.0 à 16.1.2
  • BIG-IP (Advanced WAF, APM, ASM) 15.1.0 à 15.1.5
  • BIG-IP (Advanced WAF, APM, ASM) 14.1.0 à 14.1.4
  • BIG-IP (Advanced WAF, APM, ASM)  13.1.0.8 à 13.1.5

Pour la CVE-2022-28707

  • F5 BIG-IP 16.1.0 à 16.1.2
  • F5 BIG-IP 15.1.0 à 15.1.5
  • F5 BIG-IP 14.1.0 à 14.1.4

Pour la CVE-2022-29263

  • BIG-IP APM 16.1.0 - 16.1.2
  • BIG-IP APM 15.1.0 - 15.1.5
  • BIG-IP APM 14.1.0 - 14.1.4
  • BIG-IP APM 13.1.0 - 13.1.4
  • BIG-IP APM 12.1.0 - 12.1.6
  • BIG-IP APM 11.6.1 - 11.6.5
  • BIG-IP APM Clients 7.1.8 - 7.2.1

Pour la CVE-2022-26415

  • F5 BIG-IP 16.1.0 - 16.1.2
  • F5 BIG-IP 15.1.0 - 15.1.5
  • F5 BIG-IP 14.1.0 - 14.1.4
  • F5 BIG-IP 13.1.0 - 13.1.4
  • F5 BIG-IP 12.1.0 - 12.1.6

Solutions ou recommandations

Certaines versions des produits vulnérables ne recevront pas de correctifs. F5 invite les clients concernés par ces produits à changer de version de produit ou à appliquer les mesures de contournement fournies.

Pour la CVE-2022-25946

Aucune version ne sera mise à jour, des informations complémentaires sont disponibles ici.

Pour la CVE-2022-27806

Aucune version ne sera mise à jour, des informations complémentaires sont disponibles ici.

Pour la CVE-2022-28707

Mettre à jour les versions vulnérables de BIG-IP à jour aux versions suivantes :

  • 17.0.0
  • 16.1.2.2
  • 15.1.5.1
  • 14.1.4.6

Pour la CVE-2022-29263

Mettre à jour les versions vulnérables de BIG-IP à jour aux versions suivantes :

  • 17.0.0
  • 16.1.2.2
  • 15.1.5.1
  • 14.1.4.6
  • 13.1.5
  • BIG-IP APM Clients7.2.2 et 7.2.1.5

Des informations complémentaires sur la mise à jour ainsi que des mesures de contournement sont disponibles ici.

Pour les CVE-2022-28695, CVE-2022-26415 et CVE-2022-1388

Mettre à jour les versions vulnérables de BIG-IP à jour aux versions suivantes :

  • 17.0.0
  • 16.1.2.2
  • 15.1.5.1
  • 14.1.4.6
  • 13.1.5

Des informations complémentaires sur la mise à jour ainsi que des mesures de contournement sont disponibles dans les liens suivants :

Liens