Spécialisé dans la sécurité des applications, la gestion du trafic ainsi que l'automatisation et l'orchestration des déploiements réseaux, F5 est en alerte rouge. Quelques mois après la découverte de graves failles affectant ses produits Big-IP - dont une ayant reçu un score cvss de 10 - le fournisseur a émis un bulletin de sécurité concernant 7 failles dont 4 critiques. Découvertes le 10 mars 2021, elles nécessitent une grande vigilance de la part des entreprises ayant installé des produits Big-IP ltm, aam, advanced waf, afm, analytics, apm, asm, ddhd, dns, fps, gtm et link controller), mais aussi Big-IQ centralized management.

La CVE-2021-22986 (critique et score cvss de 9,8) touche les versions 16.0.0-16.0.1, 15.1.0-15.1.2, 14.1.0-14.1.3.1, 13.1.0-13.1.3.5, 12.1.0-12.1.5.2 de tous les modules Big-IP ainsi que les versions 7.1.0-7.1.0.27.0.0-7.0.0.16.0.0-6.1.0 de Big-IQ. « Cette vulnérabilité permet aux attaquants non authentifiés disposant d'un accès réseau à l'interface icontrol rest via l'interface de gestion Big-IP et les adresses IP personnelles, d'exécuter des commandes système arbitraires, de créer ou de supprimer des fichiers et de désactiver des services. Cette vulnérabilité ne peut être exploitée que via le plan de contrôle et ne peut pas être exploitée via le plan de données. L'exploitation peut conduire à une compromission complète du système. Le système Big-IP en mode appliance est également vulnérable », prévient F5.

Des mesures d'atténuation en attendant de mettre à jour

Les autres failles critiques sont les CVE-2021-22987CVE-2021-22991 et CVE-2021-22992, tandis que deux autres sont classées comme importantes (CVE-2021-22988 et CVE-2021-22989) et une dernière présentant un risque qualifié de moyen (CVE-2021-22990). « En raison de la gravité de ces vulnérabilités, F5 recommande à tous les clients d'installer les versions corrigées dès que possible. Les sept vulnérabilités sont comblées dans les versions Big-IP suivantes: 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 et 11.6.5.3. La CVE-2021-22986 affecte également Big-IQ, et ceci est corrigé dans les versions 8.0.0, 7.1.0.3 et 7.0.0.2 », prévient F5.

Si l'installation d'une version corrigée des solutions Big-IP et Big-IQ n'est pas possible dans l'immédiat, F5 recommande des mesures d'atténuation à appliquer en attendant. Selon les failles, celles-ci varient par exemple en restreignant l'accès à icontrol rest aux seuls réseaux ou appareils de confiance, bloquer tout accès à l'utilitaire de configuration d'un système Big-IP en utilisant des adresses IP personnelles. Ou encore associer un irule (script de contrôle pour manipuler et gérer directement tout trafic d'application IP) aux serveurs virtuels concernés.