Sécurité cloud et réseau de distribution d’applications (ADN) le fournisseur F5 a publié mercredi des correctifs pour contenir 43 bogues couvrant ses produits.
Du 43 problèmes traitésun est classé critique, 17 sont classés élevés, 24 sont classés moyens et un est classé faible en gravité.
Le principal parmi les défauts est CVE-2022-1388qui porte un score CVSS de 9,8 sur un maximum de 10 et découle d’un manque de contrôle d’authentification, permettant potentiellement à un attaquant de prendre le contrôle d’un système affecté.
« Cette vulnérabilité peut permettre à un attaquant non authentifié disposant d’un accès réseau au système BIG-IP via le port de gestion et/ou des adresses IP propres d’exécuter des commandes système arbitraires, de créer ou de supprimer des fichiers ou de désactiver des services », a déclaré F5 dans un avis. « Il n’y a pas d’exposition au plan de données ; il s’agit uniquement d’un problème de plan de contrôle. »
La vulnérabilité de sécurité, qui, selon la société, a été découverte en interne, affecte les produits BIG-IP avec les versions suivantes –
- 16.1.0 – 16.1.2
- 15.1.0 – 15.1.5
- 14.1.0 – 14.1.4
- 13.1.0 – 13.1.4
- 12.1.0 – 12.1.6
- 11.6.1 – 11.6.5
Des correctifs pour la faille de contournement d’authentification iControl REST ont été introduits dans les versions 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6 et 13.1.5. Les autres produits F5 tels que BIG-IQ Centralized Management, F5OS-A, F5OS-C et Traffix SDC ne sont pas vulnérables à CVE-2022-1388.
F5 a également proposé des solutions de contournement temporaires jusqu’à ce que les correctifs puissent être appliqués –
- Bloquer l’accès iControl REST via l’adresse IP propre
- Bloquer l’accès iControl REST via l’interface de gestion
- Modifier la configuration httpd de BIG-IP
D’autres bogues notables résolus dans le cadre de la mise à jour incluent ceux qui pourraient permettre à un attaquant authentifié de contourner les restrictions du mode Appliance et d’exécuter du code JavaScript arbitraire dans le contexte de l’utilisateur actuellement connecté.
Avec les appliances F5 largement déployées dans les réseaux d’entreprise, il est impératif que les organisations agissent rapidement pour appliquer les correctifs afin d’empêcher les pirates d’exploiter le vecteur d’attaque pour l’accès initial.
Les correctifs de sécurité interviennent alors que la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté cinq nouvelles failles à son Catalogue des vulnérabilités exploitées connues sur la base de preuves d’exploitation active –