Vulnérabilités au sein de plusieurs produits F5

Date de publication :

CVE-2021-23025 [Score CVSS v3 : 8.8 ]

Une vulnérabilité pouvant permettre une exécution de commande à distance authentifiée au sein de la section Configuration de F5 BIG-IP.

CVE-2021-23026 [Score CVSS v3 : 8.8 ]

BIG-IP et BIG-IQ sont vulnérables aux attaques de type CSRF (cross-site request forgery) via iControl SOAP.

CVE-2021-23027 [Score CVSS v3 : 6.1 ]

Une vulnérabilité de type XSS (cross-site scripting) dans une page non divulguée de l'utilitaire de configuration BIG-IP. Son exploitation peut permettre à un attaquant d'exécuter du code JavaScript arbitraire dans le contexte de l'utilisateur actuellement connecté.

CVE-2021-23028 [Score CVSS v3 : 7.5]

Lorsque des profils de contenu JSON sont configurés pour des URLs dans le cadre d'une politique de sécurité F5 Advanced Web Application Firewall (WAF)/BIG-IP ASM et appliqués à un serveur virtuel, les requêtes sur ces URLs non divulguées peuvent provoquer l'arrêt du processus bd de BIG-IP ASM.

CVE-2021-23029 [Score CVSS v3 : 8.8 ]

Des contrôles de permission insuffisants peuvent permettre à un attaquant authentifié en tant qu’invité d'effectuer des attaques de type SSRF (Server-Side Request Forgery) via le pare-feu d'application Web (WAF) avancé de F5 et l'utilitaire de configuration ASM de BIG-IP.

CVE-2021-23030, CVE-2021-23033 [Score CVSS v3 : 7.5 ]

Lorsqu'un profil WebSocket est configuré sur un serveur virtuel, des requêtes non divulguées peuvent provoquer l'arrêt du processus bd.

CVE-2021-23031 [Score CVSS v3 : 9.9 ]

Un attaquant authentifié peut être en mesure d’élever ses privilèges sur l'interface TMUI de BIG-IP Advanced WAF et ASM.

CVE-2021-23032 [Score CVSS v3 : 7.5 ]

Lorsqu'un système DNS BIG-IP est configuré avec des paramètres d'IP spécifique et de pool autres que ceux par défaut, des réponses DNS non divulguées peuvent provoquer l'arrêt du Traffic Management Microkernel (TMM).

CVE-2021-23034 [Score CVSS v3 :7.5 ]

Lorsqu'un profil DNS utilisant un résolveur de cache est configuré sur un serveur virtuel, les demandes non divulguées peuvent provoquer l'arrêt du processus Traffic Management Microkernel (TMM).

CVE-2021-23035 [Score CVSS v3 : 7.5 ]

Lorsqu'un profil HTTP est configuré sur un serveur virtuel, après une séquence spécifique de paquets, les réponses fragmentées peuvent provoquer l'arrêt du Traffic Management Microkernel (TMM).

CVE-2021-23036 [Score CVSS v3 : 7.5 ]

Lorsque BIG-IP ASM et un profil DataSafe sont configurés sur un serveur virtuel, des requêtes non divulguées peuvent provoquer l'arrêt du Traffic Management Microkernel (TMM).

CVE-2021-23037 [Score CVSS v3 : 9.6 ] : Une vulnérabilité de type cross-site scripting (XSS) existe dans une page non divulguée de l'utilitaire de configuration BIG-IP qui permet à un attaquant d'exécuter du code JavaScript arbitraire avec les privilèges de l'utilisateur actuellement connecté.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de commandes
    Exécution de code arbitraire
    Déni de service

Criticité

    Scores CVSS v3 : 9.9 max

Existence d’un code d’exploitation

    Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

    F5 BIG-IP versions 16.0.0 jusqu’à 16.0.1
    F5 BIG-IP versions 15.1.0 jusqu’à 15.1.2
    F5 BIG-IP versions 14.1.0 jusqu’à 14.1.4
    F5 BIG-IP versions 13.1.0 jusqu’à 13.1.4
    F5 BIG-IP versions 12.1.0 jusqu’à 12.1.6
    F5 BIG-IP versions 11.6.1 jusqu’à 11.6.5
    F5 BIG-IQ versions 8.0.0 jusqu’à 8.1.0 
    F5 BIG-IQ versions 7.0.0 jusqu’à 7.1.0
    F5 BIG-IQ versions 6.0.0 jusqu’à 6.1.0

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour les logiciels impactés conformément aux instructions de l’éditeur F5.

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.

Liens