Vulnérabilités dans BIG IP de F5

Date de publication :

Ces vulnérabilités concernent la plateforme BIG-IP de l’entreprise F5. Cette plateforme est constituée d’un ensemble de plusieurs produits qui apportent des solutions de sécurité et d’amélioration de l’infrastructure réseau. L’exploitation de ces vulnérabilités par un attaquant, en utilisant des requêtes malveillantes, permet de générer un déni de service.

 

CVE-2022-23010[Score CVSS v3.1: 7.5]
Lorsque les deux profils FastL4 et http sont configurés sur un serveur virtuel, celui-ci devient vulnérable à certaines requêtes qui peuvent déclencher une surconsommation de la mémoire.

CVE-2022-23011[Score CVSS v3.1: 7.5]
Une erreur dans le fonctionnement de la composante protectrice SYN Cookie Protection a été découverte. Lors du traitement du trafic TCP, les serveurs virtuels peuvent cesser de répondre quand la composante se met à fonctionner de manière incorrecte.

CVE-2022-23022[Score CVSS v3.1: 7.5]
La présence d’un profil http sur un serveur virtuel a été signalée comme problématique. Il est possible d’utiliser ce profil pour perturber et arrêter Traffic Management Microkernel.

CVE-2022-23021[Score CVSS v3.1: 7.5]
Lorsqu’une certaine configuration http est appliquée, il est possible de l’utiliser pour perturber et arrêter Traffic Management Microkernel. Pour que cette vulnérabilité soit exploitable, les profils suivants doivent être configurés : LTM Policy, BIG-IP APM Access Profile et Explicit http Proxy.

CVE-2022-23020[Score CVSS v3.1: 7.5]
L’activation de l’option Respond on Error dans le profil Request Logging sur un serveur virtuel  a été identifiée comme vulnérable. Lorsque cette option est activée, il est possible d’utiliser des requêtes malveillantes pour arrêter Traffic Management Microkernel.

CVE-2022-23019[Score CVSS v3.1: 7.5]
La configuration d’un serveur virtuel pour la gestion des messages avec la présence des deux profils, Diameter Session et Router Profile, peut résulter en une surconsommation des ressources.

CVE-2022-23018[Score CVSS v3.1: 7.5]
Une configuration d’un serveur virtuel a été découverte comme vulnérable lorsque celle-ci à un protocole de sécurité http activé avec la présence des profils httpProxy Connect Profiles. Il est possible d’utiliser des requêtes malveillantes pour arrêter Traffic Management Microkernel.

CVE-2022-23017[Score CVSS v3.1: 7.5]
Le profil DNS Profile sur un serveur virtuel est vulnérable lorsque le mode Rapid Response Mode est activé. Il est possible d’utiliser des requêtes malveillantes pour arrêter Traffic Management Microkernel.

 

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Déni de Service

Criticité

  • Score CVSS v3.1: 7.5 max

La faille est activement exploitée

  • Non, pour l’ensemble des CVE présentés

Un correctif existe

  • Oui, pour l’ensemble des CVE présentés

Une mesure de contournement existe

  • Oui, voir la section recommandation.

Les vulnérabilités exploitées sont du type

Pour la CVE-2022-23010

  • CWE-404: Improper Resource Shutdown

Pour la CVE-2022-23011

  • CWE-682: Incorrect Calculation

Pour la CVE-2022-23022CVE-2022-23021CVE-2022-23020CVE-2022-23017

  • CWE-476: NULL Pointer Dereference.

Pour la CVE-2022-23019

  • CWE-20: Improper Input Validation.

Pour la CVE-2022-23018

  • CWE-755: Improper Handling of Exceptional Conditions.

 

Détails sur l’exploitation

Pour l’ensemble des CVE présentés

  • Vecteur d’attaque : Réseau
  • Complexité de l’attaque : Faible
  • Privilèges nécessaires pour réaliser l’attaque : Aucun
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

 

Composants vulnérables.

Pour la CVE-2022-23010

  • 11.6.1
  • 13.1.0
  • 14.1.0
  • 12.1.5
  • 11.6.5
  • 15.1.0
  • 12.1.0
  • 16.0.0
  • 16.0.1
  • 14.1.4
  • 13.1.3
  • 15.1.4

Pour la CVE-2022-23011

  • 14.1.2
  • 15.1.0
  • 14.1.0
  • 15.1.3

Pour la CVE-2022-23022CVE-2022-23021CVE-2022-23020

  • 16.1.0
  • 16.1.1

Pour la CVE-2022-23019

  • 12.1.0
  • 13.1.0
  • 15.1.0
  • 14.1.0
  • 14.1.4
  • 12.1.6
  • 13.1.4
  • 16.1.0
  • 15.1.4
  • 16.1.1

Pour la CVE-2022-23018

BIG IP (AFM)

  • 12.1.6
  • 16.0.0
  • 16.0.1
  • 16.1.0
  • 16.1.1
  • 15.1.2.1
  • 15.1.4
  • 14.1.4
  • 13.1.3.4
  • 13.1.4
  • 12.1.5.2

Pour la CVE-2022-23017

  • 13.1.0
  • 15.1.0
  • 14.1.0
  • 16.0.0
  • 16.0.1
  • 14.1.4
  • 13.1.4
  • 15.1.4

Solutions ou recommandations

Pour la CVE-2022-23010

  • Les détails sur les correctifs sont disponibles ici.

Pour la CVE-2022-23011

  • Les détails sur les correctifs sont disponibles ici.

Pour la CVE-2022-23022

  • Les détails sur les correctifs sont disponibles ici.

Pour la CVE-2022-23021

  • Les détails sur les correctifs sont disponibles ici.

Pour la CVE-2022-23020

  • Les détails sur les correctifs sont disponibles ici.

Pour la CVE-2022-23019

  • Les détails sur les correctifs sont disponibles ici.

Pour la CVE-2022-23018

  • Les détails sur les correctifs sont disponibles ici.

Pour la CVE-2022-23017

  • Les détails sur les correctifs sont disponibles ici.

Liens