S\u00e9curit\u00e9 cloud et r\u00e9seau de distribution d’applications (ADN<\/a>) le fournisseur F5 a publi\u00e9 mercredi des correctifs pour contenir 43 bogues couvrant ses produits.<\/p>\n Du 43 probl\u00e8mes trait\u00e9s<\/a>un est class\u00e9 critique, 17 sont class\u00e9s \u00e9lev\u00e9s, 24 sont class\u00e9s moyens et un est class\u00e9 faible en gravit\u00e9.<\/p>\n Le principal parmi les d\u00e9fauts est CVE-2022-1388<\/a>qui porte un score CVSS de 9,8 sur un maximum de 10 et d\u00e9coule d’un manque de contr\u00f4le d’authentification, permettant potentiellement \u00e0 un attaquant de prendre le contr\u00f4le d’un syst\u00e8me affect\u00e9.<\/p>\n “Cette vuln\u00e9rabilit\u00e9 peut permettre \u00e0 un attaquant non authentifi\u00e9 disposant d’un acc\u00e8s r\u00e9seau au syst\u00e8me BIG-IP via le port de gestion et\/ou des adresses IP propres d’ex\u00e9cuter des commandes syst\u00e8me arbitraires, de cr\u00e9er ou de supprimer des fichiers ou de d\u00e9sactiver des services”, a d\u00e9clar\u00e9 F5 dans un avis. “Il n’y a pas d’exposition au plan de donn\u00e9es\u00a0; il s’agit uniquement d’un probl\u00e8me de plan de contr\u00f4le.”<\/p>\n La vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9, qui, selon la soci\u00e9t\u00e9, a \u00e9t\u00e9 d\u00e9couverte en interne, affecte les produits BIG-IP avec les versions suivantes –<\/p>\n Des correctifs pour la faille de contournement d’authentification iControl REST ont \u00e9t\u00e9 introduits dans les versions 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6 et 13.1.5. Les autres produits F5 tels que BIG-IQ Centralized Management, F5OS-A, F5OS-C et Traffix SDC ne sont pas vuln\u00e9rables \u00e0 CVE-2022-1388.<\/p>\n F5 a \u00e9galement propos\u00e9 des solutions de contournement temporaires jusqu’\u00e0 ce que les correctifs puissent \u00eatre appliqu\u00e9s –<\/p>\n D’autres bogues notables r\u00e9solus dans le cadre de la mise \u00e0 jour incluent ceux qui pourraient permettre \u00e0 un attaquant authentifi\u00e9 de contourner les restrictions du mode Appliance et d’ex\u00e9cuter du code JavaScript arbitraire dans le contexte de l’utilisateur actuellement connect\u00e9.<\/p>\n Avec les appliances F5 largement d\u00e9ploy\u00e9es dans les r\u00e9seaux d’entreprise, il est imp\u00e9ratif que les organisations agissent rapidement pour appliquer les correctifs afin d’emp\u00eacher les pirates d’exploiter le vecteur d’attaque pour l’acc\u00e8s initial.<\/p>\n Les correctifs de s\u00e9curit\u00e9 interviennent alors que la Cybersecurity and Infrastructure Security Agency (CISA) des \u00c9tats-Unis a ajout\u00e9 cinq nouvelles failles \u00e0 son Catalogue des vuln\u00e9rabilit\u00e9s exploit\u00e9es connues<\/a> sur la base de preuves d’exploitation active –<\/p>\n <\/p>\n<\/div>\n\n
\n