Une vulnérabilité importante découverte dans l’utilitaire de configuration BIG-IP (F5)

Date de publication :

Une vulnérabilité considérée comme importante a été découverte dans le système BIG-IP Traffic Management User Interface (TMUI), un utilitaire permettant de configurer BIG-IP. Cette vulnérabilité pourrait permettre à un attaquant d’injecter du code indirectement et à distance (XSS). Les conséquences de l’exploitation de cette injection ne sont pas connues, mais pourraient permettre de rediriger arbitrairement l’utilisateur vers des pages malveillantes, de voler des informations, de modifier des éléments de configuration pour effectuer un déni de service, ou encore de prendre le contrôle du système.

La vulnérabilité impacte les versions 11.x à 13.x qui ne disposent pas de correctif de sécurité à ce jour. Les versions 14.x et 15.x ne sont pas vulnérables.

Détails techniques :

  • CVE-2019-6657 [CVSSv3 7.5] : vulnérabilité permettant à un attaquant d’effectuer une attaque « Reflected Cross-site Scripting (XSS) ». Ce type d’attaque consiste à injecter du code malveillant à partir de paramètres présents dans l'hyperlien (URL) ou la requête. Ainsi, l’attaque nécessite une interaction utilisateur : cliquer sur un lien malveillant spécialement formé pour exploiter la vulnérabilité.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Vol d’informations
  • Modification d’éléments de configuration
  • Déni de service

Criticité

  • Score CVSS : 7.5

Existence d’un code d’exploitation de la vulnérabilité

  • Il n’existe pas de code d’exploitation de la vulnérabilité connu à ce jour.

Composants & versions vulnérables

  • BIG-IP 11.5.2 à 11.6.5
  • BIG-IP 12.1.0 à 12.1.5
  • BIG-IP 13.1.0 à 13.1.3

CVE

  • CVE-2019-6657

Solutions ou recommandations

Mise en place de correctif de sécurité

  • Aucun correctif de sécurité n’a été déployé pour les versions vulnérables, il est recommandé de mettre à jour BIG-IP vers une version 14.x ou 15.x ne présentant pas de vulnérabilités.

Solution de contournement

F5 propose plusieurs solutions de contournement, la mise à jour du système étant la seule façon d’être sûr de contrer toute tentative d’attaque exploitant cette vulnérabilité :

  • Autoriser l'accès de gestion aux produits F5 uniquement via un réseau sécurisé en limitant l'accès aux seuls utilisateurs de confiance.
  • Les utilisateurs de confiance ayant accès à l'utilitaire de configuration doivent prendre des précautions lorsqu'ils cliquent sur des hyperliens provenant de sources non fiables ou inconnues. En effet, l'attaque à l'origine de l’exploitation de cette vulnérabilité repose principalement sur de l’hameçonnage.

Liens