Vulnérabilités dans F5 BIG-IP et BIG-IQ

Date de publication :

De multiples vulnérabilités ont été découvertes dans les produits BIG-IP et BIP-IQ de F5 Networks, respectivement solution d’équilibrage de charge et gestionnaire de périphériques. Un attaquant distant exploitant ces vulnérabilités peut provoquer une situation de déni de service, tandis qu’un attaquant local peut élever son niveau de privilèges.

CVE-2020-5858 [Score CVSS v3 : 7.8] : Une vulnérabilité de type élévation de privilèges a été découverte dans BIG-IP et BIG-IQ. Un attaquant local disposant d’un rôle non-administrateur et d’un accès à tmsh peut exécuter des commandes arbitraires avec un niveau de privilèges élevé via une commande spécialement conçue.

CVE-2020-5857 [Score CVSS v3 : 7.5] : Une vulnérabilité de type déni de service a été découverte dans BIG-IP. Un attaquant distant exploitant un comportement non-spécifié de l’implémentation HTTP utilisée par certains modules peut conduire à une situation de déni de service.

CVE-2020-5859 [Score CVSS v3 : 7.5] : Une vulnérabilité de type déni de service a été découverte dans BIG-IP. Un attaquant distant exploitant cette faille peut rendre l’appareil incapable de traiter des communications réseau via un message HTTP/3 spécialement conçu, résultant en une situation de déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Elévation de privilèges
  • Déni de service

Criticité

  • Score CVSS v3 : 7.8 maximum

Existence d’un code d’exploitation

  • Pas de code d’exploitation disponible publiquement pour l’instant

Composants vulnérables

  • CVE-2020-5858 :

    • BIG-IP avant la version 12.1.5.1, 14.1.2.3 ou 15.1.0 selon la version majeure utilisée
    • BIG-IQ Centralized Management, pas de correctif déployé
  • CVE-2020-5857 : 

    • BIG-IP avant la version 15.1.0, 15.0.1.1, 14.1.2.3, 13.1.3.2 ou 12.1.5.1 selon la version majeure et intermédiaire utilisée
  • CVE-2020-5859 : 

    • BIG-IP avant la version 15.1.0.2

CVE

  • CVE-2020-5858
  • CVE-2020-5857
  • CVE-2020-5859

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour BIG-IP vers une version non-vulnérable (voir la section “Composants vulnérables). BIG-IQ ne dispose pas encore de correctif de sécurité.

Solution de contournement

  • CVE-2020-5858 : désactiver tmsh pour les utilisateurs non-administrateurs

  • CVE-2020-5857 : dans certains cas, il est possible de contourner cette vulnérabilité en éditant la valeur “Maximum Header Count” du profil HTTP utilisé en la réglant sur une valeur plus grande que celle du serveur sous-jacent

Les détails et instructions techniques relatives à ces solutions peuvent être consultés sur les bulletins du constructeur concernant ces vulnérabilités, disponibles en références.

Liens