Vulnérabilités dans F5 BIG-IQ Centralized Management
Date de publication :
CVE-2021-22997 [Score CVSS v3 : 7.5]
Une vulnérabilité au sein du service BIG-IQ HA ElasticSearch a été corrigée. Cette faille est due à une absence de demande d'authentification pour les services de transport de clustering, les données utilisées par ElasticSearch pour le transport ne sont pas cryptées. Un attaquant distant et non authentifié peut exploiter cette vulnérabilité afin d’accéder à des informations sensibles.
CVE-2021-22996 [Score CVSS v3 : 7.5]
Une vulnérabilité au sein du cluster BIG-IQ Data Collection Device (DCD) a été corrigée. Lorsqu'il est configuré pour un basculement automatique, un membre du cluster DCD qui reçoit un message non divulgué peut provoquer l'abandon du processus corosync. son exploitation peut permettre à un attaquant distant et non-authentifié de provoquer un déni de service
CVE-2021-22995 [Score CVSS v3 : 7.5]
La haute disponibilité (HA) de BIG-IQ, lorsqu'elle utilise un dispositif Quorum pour le basculement automatique, ne met en œuvre aucune forme d'authentification avec le démon Corosync. Un attaquant distant et non-authentifié peut être en mesure d’élever ses privilèges sur les dispositifs vulnérables.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Contournement d’authentification
- Accès non désiré à des informations sensibles
- Déni de service
- Elévation de privilèges
Criticité
- Scores CVSS v3 : 7.5
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- BIG-IQ Centralized Management versions 6.0.0 à 6.1.0 et 7.0.0 à 7.1.0
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour le logiciel F5 BIG-IQ vers la version 8.0.0.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.