Vulnérabilités dans les produits BIG-IP de F5
Date de publication :
CVE-2020-5948[Score CVSS v3 : 9.6] : Certains points d’entrée spécifiques dans iControl REST sont sensibles aux attaques de type reflected cross-site scripting (reflected XSS). L'exploitation de cette vulnérabilité peut permettre à un attaquant distant et non-authentifié de compromettre le système BIG-IP en leurrant un utilisateur administrateur vers un lien malveillant.
CVE-2020-27715[Score CVSS v3 : 7.5] : Les requêtes TLS adressées à l’interface de gestion de BIG-IP via le port 443 (https) peuvent provoquer une utilisation importante du CPU (~100%) par le daemon httpd. Un attaquant distant et non-authentifié peut éventuellement provoquer un déni de service en exploitant cette faille.
CVE-2020-27716[Score CVSS v3 : 6.1] : Certaines requêtes non-spécifiées envers un serveur virtuel BIG-IP APM peuvent éventuellement provoquer un redémarrage du microkernel de gestion de trafic (TTM).
CVE-2020-27717 [Score CVSS v3 : 7.5] : Cette vulnérabilité est due à une mauvaise gestion des requêtes par le serveur DNS virtuel de BIG-IP. Certaines requêtes DNS spécifiques envoyées au serveur DNS peuvent provoquer l’arrêt temporaire de celui-ci. Le microkernel de gestion de trafic (TTM) devra alors redémarrer afin de résoudre le problème, ce qui causera un déni de service au niveau du sous-réseau impacté. L’exploitation de cette vulnérabilité peut permettre à un attaquant distant et non-authentifié de provoquer un déni de service.
CVE-2020-27718[Score CVSS v3 : 7.5] : Cette vulnérabilité impacte les systèmes BIG-IP ASM. Elle est due à une mauvaise gestion des requêtes contenant des données au format JSON lorsque celles-ci contiennent un très grand nombre de paramètres.Ce type de requêtes envers un serveur BIG-IP ASM peuvent provoquer une utilisation importante du CPU. Un attaquant distant et non-authentifié peut éventuellement provoquer un déni de service en exploitant cette faille.
CVE-2020-27719 [Score CVSS v3 : 6.1] : Cette vulnérabilité peut permettre une attaque de type cross-site scripting (XSS). Un attaquant distant et authentifié peut potentiellement injecter du code JavaScript de façon arbitraire avec les privilèges associés au compte authentifié.
CVE-2020-27720[Score CVSS v3 : 7.5] : Cette vulnérabilité concerne les cas où le SP-DAG est activé et que le champ dag-ipv6-prefix-len est d’une valeur inférieure à la valeur par défaut (128 bits). Les requêtes de type NAT 66 avec le mode Post Block Allocation (PBA) peuvent éventuellement provoquer un redémarrage du microkernel de gestion de trafic (TTM). Un attaquant distant et non-authentifié peut éventuellement provoquer un déni de service en exploitant cette faille.
CVE-2020-27723 [Score CVSS v3 : 7.5] : Les requêtes de type PingAccess envers un serveur virtuel BIG-IP APM peuvent éventuellement provoquer un redémarrage du microkernel de gestion de trafic (TTM).
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Redirection vers du contenu malveillant
- Déni de service
- Injection de code arbitraire
- Violation des politiques de sécurité
Criticité
- Score CVSS v3 : 9.6 ; 7.5 ; 6.1
Existence d’un code d’exploitation
- Il n’existe pas de code d’exploitation connu publiquement à l’heure actuelle.
Composants vulnérables
Les versions des logiciels BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO) sont impactées par les vulnérabilités suivantes (1) (2) (3) :
- Version 16.0.0 : CVE-2020-27719, CVE-2020-5948, CVE-2020-27717, CVE-2020-27720, CVE-2020-27718
- Versions 15.0.0 -15.1.0 : CVE-2020-27719, CVE-2020-5948, CVE-2020-27717, CVE-2020-27723 ( seulement de v15.0.0 à 15.0.1), CVE-2020-27720( seulement pour 15.1.0), CVE-2020-27716, CVE-2020-27715, CVE-2020-27718
- Versions 14.1.0 - 14.1.3 : CVE-2020-27719, CVE-2020-5948, CVE-2020-27717, CVE-2020-27723, CVE-2020-27720, CVE-2020-27716, CVE-2020-27715, CVE-2020-27718
- Versions 13.1.0 - 13.1.3 : CVE-2020-5948, CVE-2020-27717, CVE-2020-27723, CVE-2020-27716, CVE-2020-27718
- Versions 12.1.0 - 12.1.5 : CVE-2020-5948, CVE-2020-27717, CVE-2020-27716, CVE-2020-27718
- Versions 11.6.1 - 11.6.5 : CVE-2020-5948, CVE-2020-27717, CVE-2020-27716, CVE-2020-27718
(1)Les vulnérabilités CVE-2020-27716, CVE-2020-27723 ne concerne que le produit BIG-IP APM.
(2)La vulnérabilité CVE-2020-27717 ne concerne que le produit BIG-IP DNS.
(3)La vulnérabilité CVE-2020-27718 ne concerne que les produits BIG-IP Advanced WAF et BIG-IP ASM.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour les produits BIG-IP vulnérables une des versions suivantes :
16.0.1
15.1.1
14.1.3.1
13.1.3.5
Les versions des logiciels BIG-IP 11.x et 12.x ne seront pas corrigées.
Solution de contournement
Pour la CVE-2020-27720, il est possible de réassigner le paramètre dag-ipv6-prefix-len à sa valeur par défaut (128bits) avec la procédure suivante :
Se connecter à l’interface de commande TMOS Shell (tmsh) en entrant la commande suivante :
tmshRéassigner le paramètre dag-ipv6-prefix-len à sa valeur par défaut :
modify /net dag-globals dag-ipv6-prefix-len 128Sauvegarder les changements effectués:
save /sys config
Pour la CVE-2020-27715, si le service de configuration de BIG-IP n’est plus disponible, il est possible de redémarrer le processus httpd :
Se connecter en tant qu’admin à l’interface de commande TMOS Shell (tmsh) en entrant la commande suivante :
tmshRéassigner le paramètre dag-ipv6-prefix-len à sa valeur par défaut :
restart /sys service httpd
Liens
- Bulletin de sécurité F5 - CVE-2020-27719
- Bulletin de sécurité F5 - CVE-2020-5948
- Bulletin de sécurité F5 - CVE-2020-27717
- Bulletin de sécurité F5 - CVE-2020-27723
- Bulletin de sécurité F5 - CVE-2020-27720
- Bulletin de sécurité F5 - CVE-2020-27716
- Bulletin de sécurité F5 - CVE-2020-27715
- Bulletin de sécurité F5 - CVE-2020-27718