Plusieurs vulnérabilités de sécurité ont été révélées dans les appareils F5 BIG-IP et BIG-IQ qui, si elles sont exploitées avec succès, compromettent complètement les systèmes concernés.
La société de cybersécurité Rapid7 a déclaré que le défauts pourraient être abusés pour accéder à distance aux appareils et contourner les contraintes de sécurité. Les problèmes affectent les versions 13.x, 14.x, 15.x, 16.x et 17.x de BIG-IP et les versions 7.x et 8.x de gestion centralisée de BIG-IQ.
Les deux problèmes de gravité élevée, qui ont été signalés à F5 le 18 août 2022, sont les suivants :
- CVE-2022-41622 (Score CVSS : 8,8) – Une falsification de requête intersite (CSRF) via iControl SOAP, entraînant l’exécution de code à distance non authentifié.
- CVE-2022-41800 (Score CVSS : 8,7) – Une vulnérabilité iControl REST qui pourrait permettre à un utilisateur authentifié avec un rôle d’administrateur de contourner Mode appareil restrictions.
« En exploitant avec succès la pire des vulnérabilités (CVE-2022-41622), un attaquant pourrait obtenir un accès root persistant à l’interface de gestion de l’appareil (même si l’interface de gestion n’est pas accessible sur Internet) », a déclaré le chercheur de Rapid7, Ron Bowes. a dit.
Cependant, il convient de noter qu’un tel exploit nécessite qu’un administrateur ayant une session active visite un site Web hostile.
Ont également été identifiés trois instances différentes de contournement de sécurité, qui, selon F5, ne peut être exploité sans d’abord briser les barrières de sécurité existantes grâce à un mécanisme auparavant non documenté.
Si un tel scénario se présentait, un adversaire avec Advanced Shell (frapper) l’accès à l’appliance pourrait exploiter ces faiblesses pour exécuter des commandes système arbitraires, créer ou supprimer des fichiers ou désactiver des services.
Bien que F5 n’ait fait aucune mention des vulnérabilités exploitées dans les attaques, il est recommandé aux utilisateurs d’appliquer les correctifs nécessaires au fur et à mesure qu’ils deviennent disponibles pour atténuer les risques potentiels.