Vulnérabilité dans F5 BIG-IP (11 mai 2022)
Publié le 11 mai 2022 02:00
Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Exécution de code arbitraire à distance
Systèmes affectés
- F5 BIG-IP versions 13.x antérieures à 13.1.5
- F5 BIG-IP versions 14.x antérieures à 14.1.4.6
- F5 BIG-IP versions 15.x antérieures à 15.1.5.1
- F5 BIG-IP versions 16.x antérieures à 16.1.2.2
Les versions suivantes de F5 sont également vulnérables mais ne sont plus maintenues par l’éditeur :
- F5 BIG-IP des versions 12.1.0 aux versions 12.1.6
- F5 BIG-IP des versions 11.6.1 aux versions 11.6.5
Résumé
La vulnérabilité
CVE-2022-1388 affectant
les équipements BIG-IP de F5 Networks a été annoncée le 4 mai 2022. Elle
permet de contourner le mécanisme d’authentification et d’invoquer les
fonctions d’interprétation de commandes systèmes disponibles au travers
de l’interface de programmation (API) iControl. Il est en particulier
possible d’invoquer une invite de commande (bash) qui sera exécutée
avec les droits root, permettant donc de prendre le contrôle de
l’équipement.
L’API iControl REST permet l’automatisation de certaines tâches
d’administration. Elle est accessible depuis l’interface
d’administration de l’équipement mais également depuis les adresses IP
dénommées self-IP qui peuvent être configurées via le menu Network
/ Self-IPs dans les différents VLANs auxquels ces équipements sont
connectés.
Le CERT-FR recommande de ne pas exposer les interfaces et API
d'administration sur Internet.
Cette vulnérabilité a déjà été mentionnée dans le bulletin d’actualité
hebdomadaire du 09 mai 2022. Toutefois, les analyses techniques publiées
récemment confirment la facilité d’exploitation de cette vulnérabilité
et des codes d’exploitation sont désormais disponibles. Par ailleurs,
certaines versions affectées ne disposent pas de correctif et les
possibilités d’une exploitation par l’intermédiaire d’un réseau interne
ne peuvent pas être exclues.
Contournement provisoire
S’il n’est pas possible de procéder à l’installation d’une version de
BIG-IP corrigeant la vulnérabilité, se référer aux mesures de
contournement proposées par
l’éditeur [3] à la
section Mitigation.
Solution
Le CERT-FR recommande fortement d’appliquer les correctifs fournis par
l’éditeur, se référer à l’avis émis par le CERT-FR
[1]
[2] pour
plus d’information.
Pour les versions 11.x et 12.x de BIG-IP, il est nécessaire d’effectuer
une montée de version afin de corriger la vulnérabilité.
Se référer à l’article K5903
[4] pour identifier les
versions de BIG-IP supportées par F5.
De manière générale, il faut a minima prendre les mesures nécessaires
pour que l’interface de gestion d’un équipement ne soit accessible que
depuis un réseau sécurisé. Le CERT-FR rappelle également que l'éditeur a
publié des bonnes pratiques afin de sécuriser l'administration de ses
équipements [5]. Il
convient notamment de :
- Connecter le port d'administration sur un réseau d'administration
sécurisé ;
- Interdire l'accès aux interfaces d’administration (notamment mui et
iControl) via les adresses IP Self-IP ;
Rappels :
Liens :
Documentation