Vulnérabilités dans plusieurs produits F5
Date de publication :
CVE-2021-22986 [Score CVSS v3 : 9.8] : L'interface REST d'iControl présente une vulnérabilité permettant une exécution de commande. Un attaquant distant et non authentifié peut exploiter cette faille.
CVE-2021-22987 [Score CVSS v3 : 9.9] : L'utilitaire de configuration TMUI, lorsqu'il fonctionne en mode Appliance, présente une vulnérabilité d'exécution de commande authentifiée dans des pages non divulguées.
CVE-2021-22988 [Score CVSS v3 : 8.8] : L'utilitaire de configuration TMUI présente une vulnérabilité d'exécution de commande sur des pages non-divulguées. Un attaquant distant et non authentifié peut exploiter cette faille.
CVE-2021-22989 [Score CVSS v3 : 9.1] : Lorsqu'il est exécuté en mode Appliance avec Advanced WAF ou BIG-IP ASM, l'utilitaire de configuration TMUI présente une vulnérabilité d'exécution de commande sur des pages non-divulguées. Un attaquant distant et non authentifié peut exploiter cette faille.
CVE-2021-22991 [Score CVSS v3 : 9.8] : Les demandes non divulguées adressées à un serveur virtuel peuvent être traitées de manière incorrecte par la normalisation des URI du noyau de gestion du trafic (TMM). l'exploitation de cette vulnérabilité peut provoquer un débordement de tampon mémoire, entraînant ainsi un déni de service. Dans certaines situations, cela peut théoriquement permettre de contourner le contrôle d'accès basé sur les URL et également permettre des injections de code arbitraire. Un attaquant distant et non authentifié peut exploiter cette faille.
CVE-2021-22992 [Score CVSS v3 : 9.8] : Une vulnérabilité au sein des serveurs virtuels Advanced WAF/BIG-IP ASM dont la page de connexion est configurée dans sa politique a été corrigée. L’envoi d’une réponse HTTP spécifique peut provoquer un débordement de tampon mémoire, entraînant ainsi un déni de service. Dans certaines situations, cela peut théoriquement permettre de contourner le contrôle d'accès basé sur les URL et également permettre des injections de code arbitraire. Un attaquant distant et non authentifié peut exploiter cette faille.
CVE-2021-22994 [Score CVSS v3 : 6.1] : Des points de terminaison non divulgués dans iControl REST permettent une attaque de type XSS réfléchie, qui pourrait conduire à une compromission complète du système BIG-IP si l'utilisateur victime possède le rôle d'administrateur. Un attaquant distant peut exploiter cette vulnérabilité en utilisant une URL modifiée vers une vulnérabilité XSS (cross-site scripting) réfléchie dans une page non divulguée de l'utilitaire de configuration, ce qui peut entraîner une compromission complète du système BIG-IP si l'utilisateur victime a le rôle d'administrateur.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de code arbitraire
- Exécution de commandes arbitraires
Criticité
- Scores CVSS v3 : 6.1 ; 8.8 ; 9.8 ; 9.9
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l'heure actuelle à l’heure actuelle.
- Néanmoins l'éditeur F5 signale que la CVE-2021-22986 est actuellement activement exploitée.
Composants vulnérables
- Une liste détaillée des composants impactés par ces vulnérabilités est disponible dans le lien en référence de ce bulletin.
CVE
- CVE-2021-22994
- CVE-2021-22992
- CVE-2021-22991
- CVE-2021-22990
- CVE-2021-22989
- CVE-2021-22988
- CVE-2021-22987
- CVE-2021-22986
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les dispositifs vulnérables conformément aux instructions de F5.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.