Un bogue critique du BIG-IP de F5 affecte les clients dans les secteurs sensibles

0

La société de services applicatifs F5 a corrigé plus d’une douzaine de vulnérabilités de haute gravité dans son périphérique réseau BIG-IP, l’une d’entre elles étant de gravité critique dans des conditions spécifiques.

Ces corrections font partie de la livraison de mises à jour de sécurité du mois dernier, qui corrige près de 30 vulnérabilités pour plusieurs appareils de F5.

Bug critique pour les secteurs sensibles

Sur les treize failles de haute gravité que F5 a corrigées, une devient critique dans une configuration « conçue pour répondre aux besoins des clients dans des secteurs particulièrement sensibles » et pourrait conduire à une compromission complète du système.

Le problème est désormais identifié en tant que CVE-2021-23031 et affecte les modules BIG-IP Advanced WAF (Web Application Firewall) et Application Security Manager (ASM), en particulier l’interface utilisateur de gestion du trafic (TMUI).

Normalement, il s’agit d’une élévation de privilèges avec un score de gravité de 8,8 qui peut être exploitée par un attaquant authentifié ayant accès à l’utilitaire de configuration pour exécuter des commandes de système arbitraires, ce qui pourrait conduire à une compromission totale du système.

Pour les clients utilisant le mode Appliance, qui applique certaines restrictions techniques, la même vulnérabilité est associée à une note critique de 9,9 sur 10.

L’avis de sécurité de F5 pour CVE-2021-23031 ne fournit pas beaucoup de détails sur les raisons pour lesquelles il existe deux niveaux de gravité, mais note qu’il existe un « nombre limité de clients » qui sont affectés par la variante critique du bogue à moins qu’ils n’installent la version mise à jour ou appliquer des mesures d’atténuation.

Pour les organisations où la mise à jour des appareils n’est pas possible, F5 indique que le seul moyen de se défendre contre une éventuelle exploitation est de limiter l’accès à l’utilitaire de configuration uniquement aux utilisateurs totalement fiables.

À l’exception de CVE-2021-23031, la douzaine de bugs de sécurité de haute gravité que F5 a résolus le mois dernier présentent des scores de risque compris entre 7,2 et 7,5. La moitié d’entre eux affectent tous les modules, cinq affectent le WAF avancé et l’ASM, et un affecte le module DNS.

CVE / Identifiant BugSeveritéScore CVSSProduits AffectésVersions AffectésCorrections introduites dans
CVE-2021-23025Elevée7.2BIG-IP (tout les modules)15.0.0 – 15.1.0
14.1.0 – 14.1.3
13.1.0 – 13.1.3
12.1.0 – 12.1.6
11.6.1 – 11.6.5
16.0.0
15.1.0.5
14.1.3.1
13.1.3.5
CVE-2021-23026Elevée7.5BIG-IP (tout les modules)16.0.0 – 16.0.1
15.1.0 – 15.1.2
14.1.0 – 14.1.4
13.1.0 – 13.1.4
12.1.0 – 12.1.6
11.6.1 – 11.6.5
16.1.0
16.0.1.2
15.1.3
14.1.4.2
13.1.4.1
BIG-IQ8.0.0 – 8.1.0 
7.0.0 – 7.1.0
6.0.0 – 6.1.0
Aucun
CVE-2021-23027Elevée7.5BIG-IP (tout les modules)16.0.0 – 16.0.1
15.1.0 – 15.1.2
14.1.0 – 14.1.4
16.1.0
16.0.1.2
15.1.3.1
14.1.4.3
CVE-2021-23028Elevée7.5BIG-IP (Advanced WAF, ASM)16.0.0 – 16.0.1
15.1.0 – 15.1.3
14.1.0 – 14.1.4
13.1.0 – 13.1.3
16.1.0
16.0.1.2
15.1.3.1
14.1.4.2
13.1.4
CVE-2021-23029Elevée7.5BIG-IP (Advanced WAF, ASM)16.0.0 – 16.0.116.1.0
16.0.1.2
CVE-2021-23030Elevée7.5BIG-IP (Advanced WAF, ASM)16.0.0 – 16.0.1
15.1.0 – 15.1.3
14.1.0 – 14.1.4
13.1.0 – 13.1.4
12.1.0 – 12.1.6
16.1.0
16.0.1.2
15.1.3.1
14.1.4.3
13.1.4.1
CVE-2021-23031Elevée–Critique – Mode Appliance seulement8.8–9.9BIG-IP (Advanced WAF, ASM)16.0.0 – 16.0.1
15.1.0 – 15.1.2
14.1.0 – 14.1.4
13.1.0 – 13.1.3
12.1.0 – 12.1.5
11.6.1 – 11.6.5
16.1.0
16.0.1.2
15.1.3
14.1.4.1
13.1.4
12.1.6
11.6.5.3
CVE-2021-23032Elevée7.5BIG-IP (DNS)16.0.0 – 16.0.1
15.1.0 – 15.1.3
14.1.0 – 14.1.4
13.1.0 – 13.1.4 
12.1.0 – 12.1.6
16.1.0 
15.1.3.1
14.1.4.4
CVE-2021-23033Elevée7.5BIG-IP (Advanced WAF, ASM)16.0.0 – 16.0.1
15.1.0 – 15.1.3
14.1.0 – 14.1.4
13.1.0 – 13.1.4
12.1.0 – 12.1.6
16.1.0
15.1.3.1
14.1.4.3
13.1.4.1
CVE-2021-23034Elevée7.5BIG-IP (tout les modules)16.0.0 – 16.0.1
15.1.0 – 15.1.3
16.1.0 
15.1.3.1
CVE-2021-23035Elevée7.5BIG-IP (tout les modules)14.1.0 – 14.1.414.1.4.4
CVE-2021-23036Elevée7.5BIG-IP (Advanced WAF, ASM, DataSafe)16.0.0 – 16.0.116.1.0
16.0.1.2
CVE-2021-23037Elevée7.5BIG-IP (tout les modules)16.0.0 – 16.1.0
15.1.0 – 15.1.3
14.1.0 – 14.1.4
13.1.0 – 13.1.4
12.1.0 – 12.1.6
11.6.1 – 11.6.5
Aucune

Les failles vont de l’exécution de commandes à distance authentifiées aux scripts intersites (XSS) et à la falsification de requêtes, en passant par une autorisation insuffisante et un déni de service.

La liste complète des vulnérabilités des correctifs de sécurité inclut des bogues moins graves (moyens et faibles) et est disponible dans l’avis de F5.

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié une notification concernant l’avis de sécurité de F5, encourageant les utilisateurs et les administrateurs à consulter les informations de l’entreprise et à installer les mises à jour logicielles ou à appliquer les mesures d’atténuation nécessaires.

Laisser un commentaire