Multiples Vulnérabilités identifiées sur les produits F5 BIG-IP

De multiples vulnérabilités ont été découvertes sur les produits F5 BIG-IP. Ces dernières permettraient à un attaquant de provoquer un déni de service à distance, de contourner la politique de sécurité et de porter atteinte à la confidentialité des données.

CVE-2019-6643 [CVSS v3 7,7]

La vulnérabilité consiste à envoyer une requête DHCPv6 spécialement conçue à un serveur virtuel BIG IP configuré avec un profil DHCPv6 pouvant perturber le fonctionnement du Traffic Management MicroKernel (TMM). Le micro-noyau de gestion du trafic (TMM) traite tout le trafic de load-balancing sur le système BIG-IP.

Si le produit est configuré en « Haute Disponibilité », celui-ci peut alors entrer en échec et passer en mode « stand-by ». L’exploitation de cette vulnérabilité pourrait alors résulter en un déni de service à distance.

CVE-2019-6644 [CVSS v3 7,5]

La vulnérabilité est exploitable en utilisant un ordinateur distant pour se connecter au port de debug du produit F5 BIG-IP afin de lui injecter du code arbitraire en JavaScript. Cette vulnérabilité concerne l’extension "interface de programmation iRulesLX" (non intégrée par défaut) avec le paramétrage de configuration « -debug » ajoutée manuellement (non intégrée par défaut).

CVE-2019-6645 [CVSS v3 7,5]

La vulnérabilité est exploitable en utilisant le traffic FTP transitant par un serveur virtuel FTP du F5 BIG-IP. Ce serveur virtuel FTP possède un profil FTP actif associé ainsi qu’une option pour mettre en miroir les connexions.Configuré ainsi, le trafic FTP transitant peut perturber le fonctionnement du TMM, ce qui peut faire passer le produit en mode Haute disponibilité.

Si le produit est configuré en « Haute disponibilité » et que le TMM est perturbé alors le produit peut rentrer en échec et passer en mode « stand-by ». L’exploitation de la vulnérabilité précédemment mentionnée CVE-2019-6643 pourrait permettre d'obtenir une configuration facilitant l’exploitation de la vulnérabilité identifiée CVE-2019-6645. L’exploitation de cette dernière pourrait résulter en un déni de service à distance.

Informations
+

Risque 

  • Déni de service à distance
  • Contournement de la politique de sécurité
  • Atteinte à la confidentialité des données

Criticité 

Score CVSS : 7,7 (score de vulnérabilité le plus élevé)

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible

Composants et versions vulnérables

  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator) versions 14.1.x antérieures à 14.1.6
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator) versions 14.0.x antérieures à 14.0.5
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator) versions 13.x antérieures à 13.1.3
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator) versions 12.x antérieures à 12.1.5

CVE 

CVE-2019-6643

CVE-2019-6644

CVE-2019-6645


Recommandations
+

Mise en place de correctif de sécurité

  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator) versions 14.1.x supérieures à 14.1.6
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator) versions 14.0.x supérieures à 14.0.5
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator) versions 13.x supérieures à 13.1.3
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator) versions 12.x supérieures à 12.1.5

Solution de contournement

Aucune solution de contournement