Vulnérabilités dans plusieurs produits F5
Date de publication :
CVE-2021-22977 [Score CVSS v3 : 7.5] : Une vulnérabilité impactant le micronoyau de gestion du trafic des systèmes BIG-IP a été corrigée (TTM). Un attaquant distant et non-authentifié peut potentiellement créer un déni de service en redémarrant le TTM de manière intempestive.
CVE-2021-22980 [Score CVSS v3 : 7.5] : Une vulnérabilité de type chemins de recherche non-sûrs au sein du logiciel BIG-IP APM CTU a été corrigée. Son exploitation peut permettre à un attaquant local et non-authentifié de charger un fichier DLL malveillant afin d’exécuter du code arbitraire. Un utilisateur légitime doit alors exécuter un programme utilisant ce fichier.
CVE-2021-22976 [Score CVSS v3 : 7.5] : Lorsque le système BIG-IP ASM traite des requêtes WebSocket avec des charges utiles JSON, un nombre inhabituellement élevé de paramètres peut entraîner une utilisation excessive de l'unité centrale dans le processus BIG-IP ASM bd. Un attaquant distant et non-authentifié peut exploiter cette vulnérabilité afin de perpétrer un déni de service.
CVE-2021-22978 [Score CVSS v3 : 8.3] : Une vulnérabilité impactant les points d'entrée non divulgués dans iControl REST a été corrigée. Son exploitation peut permettre à un attaquant distant et non-authentifié de perpétrer une attaque de type XSS réfléchie. Si l’utilisateur leurré est administrateur, la compromission du système est totale.
CVE-2021-22979 [Score CVSS v3 : 6.1] : Une vulnérabilité de type XSS dans une page non divulguée de l'utilitaire de configuration BIG-IP a été corrigée. Un attaquant peut être en mesure d'injecter du code JavaScript dans le contexte de l'utilisateur actuellement connecté. Les systèmes BIG-IP où la protection contre la fraude n’est pas activée ne sont pas impactés par cette vulnérabilité.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de code arbitraire
- Déni de service
- Expositions de données sensibles
- Violation des politiques de sécurité
Criticité
- Scores CVSS v3 : 6.1 ; 7.5 ; 8.3
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- v16.0.0 & v16.0.1
APM Clients
- 7.1.5 - 7.1.8 & 7.1.9 - 7.1.9.7
BIG-IP (APM)
- 11.6.1 - 11.6.5, 12.1.0 - 12.1.5, 13.1.0 - 13.1.3, 14.1.0 - 14.1.3, 15.1.0 - 15.1.2, 16.0.0 - 16.0.1
BIG-IP (Advanced WAF, ASM)
- 12.1.0 - 12.1.5, 13.1.0 - 13.1.3, 14.1.0 - 14.1.3, 15.0.0 - 15.1.1, 16.0.0 - 16.0.1
BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 11.6.1 - 11.6.5, 12.1.0 - 12.1.5, 13.1.0 - 13.1.3, 14.1.0 - 14.1.3, 15.0.0, 16.0.0 et 16.0.1
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les logiciels impactés conformément aux instructions de F5
Solution de contournement
- Il est possible de limiter les risques liés à ces vulnérabilités en limitant l’accès aux infrastructures de sécurité F5 et en appliquant des bonnes pratiques en matière de sécurisation de réseau :
K13309: Restricting access to the Configuration utility by source IP address (11.x - 15.x)
K13092: Overview of securing access to the BIG-IP system.
Liens
- Article F5 : K14693346 - TMM vulnerability CVE-2021-22977
- Article F5 : K29282483 - BIG-IP APM CTU vulnerability CVE-2021-22980
- Article F5 : K88230177 - BIG-IP ASM WebSocket vulnerability CVE-2021-22976
- Article F5 : K87502622 - iControl REST vulnerability CVE-2021-22978
- Article: K63497634 - BIG-IP FPS XSS vulnerability CVE-2021-22979