Multiples vulnérabilités dans des produits F5

Date de publication :

iControl est l’interface de programmation d’application utilisé par Big-IP et Big-IQ. La version courante utilise REpresentational State Transfer et se nomme iControl REST.

CVE-2022-35243[Score CVSS v3.1: 8.7]

Un défaut dans le mode "Appliance" permet à un attaquant authentifié possédant le rôle "Administrator" de contourner les restrictions de sécurité du mode.

CVE-2022-35728[Score CVSS v3.1: 8.1

Un défaut dans la durée de vie d'un jeton utilisé dans l'interface REST d'iControl et généré depuis les options de configuration permet à un attaquant distant et non authentifié, en utilisant le jeton d’un autre utilisateur, d’exécuter du code arbitraire sur le système ou de créer et supprimer des documents sur le système.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire

    Contournement de la politique de sécurité

Criticité

    Score CVSS v3.1: 8.7 max

La faille est activement exploitée

    Non, pour l’ensemble des CVE présentées.

Un correctif existe

    Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

    Oui, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

CWE-269: Improper Privilege Management

CWE-613: Insufficient Session Expiration

Détails sur l’exploitation

Pour la CVE-2022-35243

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Authentification compte administrateur.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-35728

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Elevé.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Pour la CVE-2022-35243

    Big-IP versions 16.1.0 à 16.1.2

    Big-IP versions 15.1.0 à 15.1.5

    Big-IP versions 14.1.0 à 14.1.4

    Big-IP versions 13.1.0 à 13.1.5

Pour la CVE-2022-35728

    Big-IP version 17.0.0

    Big-IP versions 16.1.0 à 16.1.3

    Big-IP versions 15.1.0 à 15.1.6

    Big-IP versions 14.1.0 à 14.1.5

    Big-IP versions 13.1.0 à 13.1.5

    Big-IQ Centralized Management versions 8.0.0 à 8.1.0

    Big-IQ Centralized Management versions 7.0.0 à 7.1.0

Solutions ou recommandations

  • Mettre à jour Big-IP vers les versions 17.0.0.1, 16.1.3.1, 15.1.6.1, 14.1.5.1 ou à une version supérieure

  • Mettre à jour Big-IQ Centralized Management vers la version 8.2.0

  • Si une mise à jour n’est pas possible, F5 conseille de bloquer iControl Rest (voir ici ou ici pour plus d’informations)

Liens