Les solutions Big-IP de F5 Networks spécialisées dans le domaine du contrôle des flux applicatifs sont exposées à un exploit de vulnérabilité. Les clients qui les utilisent, évalué à plus de 8 540 dans le monde dont près de la moitié aux Etats-Unis, doivent impérativement procéder à des mises à jour produits. La plupart des entreprises utilisant ces solutions sont des grands comptes largement représentées au classement Fortune 500. Deux failles de sécurité ont été identifiées : l'une dans l'interface utilisateur de la gestion de trafic et l'autre dans l'utilitaire de configuration du contrôleur de flux applicatif.
« Les versions vulnérables de BIG-IP (11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x) doivent être remplacées par les versions mises à jour correspondantes (11.6.5.2, 12.1.5.2, 13.1. 3.4, 14.1.2.6, 15.1.0.4). Les utilisateurs de places de marché de cloud public telles que AWS, Azure, GCP et Alibaba doivent passer aux versions 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6, 15.0.1.4 ou 15.1 de BIG-IP Virtual Edition (VE). 0,4, si disponible », a indiqué l'expert en sécurité Mikhail Klyuchnikov chez Positive Technologies à l'origine de la découverte de ces failles.
Un risque de compromission système total
La vulnérabilité CVE-2020-5902 a reçu un score CVSS de 10 indiquant un risque de danger le plus élevé possible. « Cette vulnérabilité permet aux attaquants non authentifiés ou aux utilisateurs authentifiés, avec un accès réseau à la TMUI, via le port de gestion BIG-IP et / ou les Self IP, d'exécuter des commandes système arbitraires, de créer ou de supprimer des fichiers, de désactiver les services et / ou d'exécuter arbitraire Code Java. Cette vulnérabilité peut entraîner une compromission complète du système. Le système BIG-IP en mode Appliance est également vulnérable. Ce problème n'est pas exposé sur le plan de données; seul le plan de contrôle est affecté », prévient F5 Networks.
La faille CVE-2020-5903 dispose elle d'un score un peu moins élevé (7,5) mais constitue une menace à ne pas sous estimer. Elle permet en effet de faire tourner du code JavaScript malveillant. Si l'utilisateur a des privilèges d'administrateur et un accès à Advanced Shell (bash), une exploitation réussie peut conduire à un compromis complet de BIG-IP via de l'exécution de code à distance.