Vulnérabilités dans plusieurs produits F5

Date de publication :

CVE-2021-23008 [Score CVSS v3 : 9.8] 
L'authentification à l’Active Directory (AD) de BIG-IP APM peut être contournée par une réponse du service d’authentification Kerberos (AS-REP) usurpée, envoyée par une connexion KDC (Kerberos Key Distribution Center) détournée ou par un serveur AD compromis par un attaquant. Un attaquant distant et non authentifié peut détourner une connexion KDC en utilisant une réponse AS-REP falsifiée.

CVE-2021-23009 [Score CVSS v3 : 7.5] 
Les requêtes HTTP/2 malformées peuvent provoquer une boucle infinie qui entraîne un déni de service pour le trafic du plan de données. Cette faille peut être exploitée par un attaquant distant et non authentifié.

CVE-2021-23010 [Score CVSS v3 : 7.5] 
Une vulnérabilité dans le traitement des requêtes WebSocket avec des charges utiles JSON (en utilisant le profil de contenu JSON par défaut dans la politique de sécurité ASM) a été corrigée au sein des systèmes BIG-IP ASM/Advanced WAF. Un attaquant distant et non-authentifié peut faire produire au processus bd de BIG-IP ASM un fichier “central”, ce qui perturberait le trafic réseau et créerait un déni de service.

CVE-2021-23015 [Score CVSS v3 : 7.2] 
Une vulnérabilité dans le logiciel BIG-IP lorsqu’il fonctionne en mode Appliance a été corrigée. Un attaquant distant et authentifié en tant qu’administrateur peut contourner les restrictions du mode Appliance en utilisant des points d'accès REST d'iControl non divulgués.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Contournement d’authentification 
  • Déni de service
  • Expositions d’informations sensibles
  • Elévation de privilèges

Criticité

  • Scores CVSS v3 : 9.8 max

Existence d’un code d’exploitation

  • Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

BIG-IP APM versions : 

  • 11.5.2 - 11.6.5
  • 12.1.0 - 12.1.5
  • 13.1.0 - 13.1.3
  • 14.1.0 - 14.1.3
  • 15.0.0 - 15.1.2
  • 16.0.0 - 16.0.1

BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO) versions :

  • 13.1.0.8 - 13.1.3
  • 14.1.0 - 14.1.4
  • 15.0.0 - 15.1.2
  • 16.0.0 - 16.0.1

BIG-IP ASM/Advanced WAF system versions :

  • 12.1.0 - 12.1.5
  • 13.1.0 - 13.1.3
  • 14.1.0 - 14.1.3
  • 15.0.0 - 15.1.2
  • 16.0.0 - 16.0.1

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour les dispositifs impactés conformément aux instructions de l’éditeur F5.

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.

Liens