Le fournisseur d’appliances de sécurité et de réseau d’entreprise F5 a publié des correctifs pour plus de deux douzaines de vulnérabilités de sécurité affectant plusieurs versions des appareils BIG-IP et BIG-IQ qui pourraient potentiellement permettre à un attaquant d’effectuer un large éventail d’actions malveillantes, notamment l’accès à des fichiers arbitraires, l’augmentation des privilèges et l’exécution de code JavaScript.
Sur les 29 bogues corrigés, 13 sont des défauts de gravité élevée, 15 sont classés dans la moyenne et un est classé dans la gravité faible.
Le principal d’entre eux est CVE-2021-23031 (score CVSS : 8,8), une vulnérabilité affectant BIG-IP Advanced Web Application Firewall et BIG-IP Application Security Manager qui permet à un utilisateur authentifié d’effectuer une élévation de privilèges.
« Lorsque cette vulnérabilité est exploitée, un attaquant authentifié ayant accès à l’utilitaire de configuration peut exécuter des commandes système arbitraires, créer ou supprimer des fichiers et/ou désactiver des services. Cette vulnérabilité peut entraîner une compromission complète du système », a déclaré F5 dans son avis.
Il convient de noter que pour les clients utilisant l’appareil dans Mode appareil, qui applique des restrictions techniques supplémentaires dans les secteurs sensibles, la même vulnérabilité est associée à une note critique de 9,9 sur 10. « Comme cette attaque est menée par des utilisateurs légitimes et authentifiés, il n’existe aucune atténuation viable permettant également aux utilisateurs d’accéder à l’utilitaire de configuration. . La seule atténuation est de supprimer l’accès pour les utilisateurs qui ne sont pas totalement fiables », a déclaré la société.
Les autres vulnérabilités majeures résolues par F5 sont répertoriées ci-dessous –
- CVE-2021-23025 (score CVSS : 7,2) – Vulnérabilité d’exécution de commande à distance authentifiée dans l’utilitaire de configuration BIG-IP
- CVE-2021-23026 (score CVSS : 7,5) – Vulnérabilité de contrefaçon de requête intersites (CSRF) dans iControl SOAP
- CVE-2021-23027 et CVE-2021-23037 (score CVSS : 7,5) – Vulnérabilités basées sur le DOM TMUI et reflétées par les scripts intersites (XSS)
- CVE-2021-23028 (score CVSS : 7.5) – Vulnérabilité BIG-IP Advanced WAF et ASM
- CVE-2021-23029 (score CVSS : 7,5) – Vulnérabilité BIG-IP Advanced WAF et ASM TMUI
- CVE-2021-23030 et CVE-2021-23033 (score CVSS : 7,5) – Vulnérabilités BIG-IP Advanced WAF et ASM Websocket
- CVE-2021-23032 (score CVSS : 7,5) – Vulnérabilité DNS BIG-IP
- CVE-2021-23034, CVE-2021-23035 et CVE-2021-23036 (score CVSS : 7,5) – Vulnérabilités du micro-noyau de gestion du trafic
De plus, F5 a également corrigé un certain nombre de failles allant de la vulnérabilité de traversée de répertoire et d’injection SQL à la vulnérabilité de redirection ouverte et à la falsification de requêtes intersites, ainsi qu’une faille de base de données MySQL qui fait que la base de données consomme plus d’espace de stockage que prévu en cas de brute -Les fonctions de protection de force du pare-feu sont activées.
Les appareils F5 devenant souvent des cibles juteuses pour les tentatives d’exploitation actives par les acteurs de la menace, il est fortement recommandé aux utilisateurs et aux administrateurs d’installer des logiciels mis à jour ou d’appliquer les mesures d’atténuation nécessaires dès que possible.
