Accueil > Alertes CERT-MC > AVIS CERTFR - 2022 - ALE - 004

AVIS CERTFR - 2022 - ALE - 004

Objet : Vulnérabilité dans F5 BIG-IP

 

Référence : CERTFR-2022-ALE-004

Systèmes affectés

 

- F5 BIG-IP versions 16.x antérieures à 16.1.2.2
- F5 BIG-IP versions 15.x antérieures à 15.1.5.1
- F5 BIG-IP versions 14.x antérieures à 14.1.4.6
- F5 BIG-IP versions 13.x antérieures à 13.1.5
Les versions suivantes de F5 sont également vulnérables mais ne sont plus maintenues par l’éditeur :
- F5 BIG-IP des versions 12.1.0 aux versions 12.1.6
- F5 BIG-IP des versions 11.6.1 aux versions 11.6.5

Résumé

La vulnérabilité CVE-2022-1388 affectant les équipements BIG-IP de F5 Networks a été annoncée le 4 mai 2022. Elle permet de contourner le mécanisme d’authentification et d’invoquer les fonctions d’interprétation de commandes systèmes disponibles au travers de l’interface de programmation (API) iControl. Il est en particulier possible d’invoquer une invite de commande (bash) qui sera exécutée avec les droits root, permettant donc de prendre le contrôle de l’équipement.
L’API iControl REST permet l’automatisation de certaines tâches d’administration. Elle est accessible depuis l’interface d’administration de l’équipement mais également depuis les adresses IP dénommées self-IP qui peuvent être configurées via le menu Network / Self-IPs dans les différents VLANs auxquels ces équipements sont connectés.
Le CERT-FR recommande de ne pas exposer les interfaces et API d'administration sur Internet.
Cette vulnérabilité a déjà été mentionnée dans le bulletin d’actualité hebdomadaire du 09 mai 2022. Toutefois, les analyses techniques publiées récemment confirment la facilité d’exploitation de cette vulnérabilité et des codes d’exploitation sont désormais disponibles. Par ailleurs, certaines versions affectées ne disposent pas de correctif et les possibilités d’une exploitation par l’intermédiaire d’un réseau interne ne peuvent pas être exclues.

Solution

S’il n’est pas possible de procéder à l’installation d’une version de BIG-IP corrigeant la vulnérabilité, se référer aux mesures de contournement proposées par l’éditeur [3] à la section Mitigation.
Le CERT-FR recommande fortement d’appliquer les correctifs fournis par l’éditeur, se référer à l’avis émis par le CERT-FR [1] [2] pour plus d’information.
Pour les versions 11.x et 12.x de BIG-IP, il est nécessaire d’effectuer une montée de version afin de corriger la vulnérabilité.
Se référer à l’article K5903 [4] pour identifier les versions de BIG-IP supportées par F5.
De manière générale, il faut a minima prendre les mesures nécessaires pour que l’interface de gestion d’un équipement ne soit accessible que depuis un réseau sécurisé. Le CERT-FR rappelle également que l'éditeur a publié des bonnes pratiques afin de sécuriser l'administration de ses équipements [5]. Il convient notamment de :
Connecter le port d'administration sur un réseau d'administration sécurisé ;
Interdire l'accès aux interfaces d’administration (notamment mui et iControl) via les adresses IP Self-IP ;

Documentation

- Bulletin d’actualité CERTFR-2022-ACT-019

https://cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-019/
- Avis CERTFR-2022-AVI-419 - Multiples vulnérabilités dans les produits F5

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-419/

- BIG-IP iControl REST vulnerability CVE-2022-1388

https://support.f5.com/csp/article/K23605346

- BIG-IP software support policy

https://support.f5.com/csp/article/K5903

- Overview of securing access to the BIG-IP system

https://support.f5.com/csp/article/K13092

 

Dernière version du document

 

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-004/

AVIS CERTFR - 2022 - AVI - 496

25 mai 2022
actualite

Objet : Multiples vulnérabilités dans le noyau Linux de Red HatRéférence : CERTFR-2022-AVI-496Risque(s)- Exécution de code arbitraire à distanceSys... Lire la suite[+]

AVIS CERTFR - 2022 - AVI - 495

25 mai 2022
actualite

Objet : Multiples vulnérabilités dans le noyau Linux de UbuntuRéférence : CERTFR-2022-AVI-495Risque(s) - Exécution de code arbitraire - Déni de ser... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2022-ALE-004