Vue d’ensemble
Deux vulnérabilités, de criticité moyenne, ont été corrigées sur plusieurs produits faisant partie de la famille de produits BIG-IP de F5. Elles permettent, pour l’une, de contourner la politique de sécurité afin de mener des attaques de type homme du milieu, pour l’autre, d’injecter du script web à distance.
Vue détaillée
Deux références CVEs ont été attribuées à ces vulnérabilités:
CVE-2017-6142 : Pour une vulnérabilité qui n’a été détectée jusqu’à présent que pour quelques versions BIG-IP AFM (cf. section composant et versions vulnérables). Elle peut permettre de mener des attaques de type homme du milieu. Ceci est lié à l’incapacité des systèmes vulnérables à valider correctement l'identité des serveurs distants. En effet, la vérification du certificat X509 implémentée dans la fonction "ID utilisateur" d'accès anticipé dans BIG-IP Advanced Firewall Manager ne se faisait pas correctement, ce qui induisait la mauvaise validation de l'identité des serveurs distants.
CVE-2016-7469 : Pour une vulnérabilité d’injection de code à distance (XSS) sur une la page de changement de nom de périphérique de l'utilitaire de configuration BIG-IP. Elle permet à un utilisateur authentifié d'injecter un script Web arbitraire ou HTML. L'exploitation nécessite des privilèges d'administrateur de ressources ou d'administrateur, et peut rendre l'utilitaire de configuration instable.
Impact
- Contournement de la politique de sécurité
- Injection de code à distance (XSS: Cross Site Scripting)
Criticité
- CVSS v3 : 5.4 (Pour la vulnérabilité la plus critique)
Existence d’un code d’exploitation de la vulnérabilité
- Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- BIG-IP AFM versions 11.4.0 à 11.6.2, 12.0.0 à 12.1.2 et 13.0
- BIG-IP LTM versions 12.0.0 à 12.1.2, 11.4.0 à 11.6.2 et 11.2.1
- BIG-IP AAM versions 12.0.0 à 12.1.2 et 11.4.0 à 11.6.2
- BIG-IP Analytics versions 12.0.0 à 12.1.2, 11.4.0 à 11.6.2 et 11.2.1
- BIG-IP APM versions 12.0.0 à 12.1.2, 11.4.0 à 11.6.2 et 11.2.1
- BIG-IP ASM versions 12.0.0 à 12.1.2, 11.4.0 à 11.6.2 et 11.2.1
- BIG-IP DNS versions 12.0.0 à 12.1.2
- BIG-IP Edge Gateway versions 11.2.1
- BIG-IP GTM versions 11.4.0 à 11.6.2 et 11.2.1
- BIG-IP Link Controller versions 12.0.0 à 12.1.2, 11.4.0 à 11.6.2 et 11.2.1
- BIG-IP PEM versions 12.0.0 à 12.1.2 et 11.4.0 à 11.6.2
- BIG-IP PSM versions 11.4.0 à 11.4.1
- BIG-IP WebAccelerator version 11.2.1
- BIG-IP WOM version 11.2.1
- BIG-IP WebSafe versions 12.0.0 à 12.1.2 et 11.6.0 à 11.6.2
CVE
- CVE-2017-6142
- CVE-2016-7469
Correctifs
- Des mises à jour de sécurité corrigeant les vulnérabilités ont été publiées par F5. Il est recommandé de mettre à jour les produits vers les versions non vulnérables.
- F5 a publié sur ses avis de sécurité, traitant ces deux vulnérabilités, la liste des versions non vulnérables.
- CVE-2017-6142 - https://support.f5.com/csp/article/K20682450
- CVE-2016-7469 - https://support.f5.com/csp/article/K97285349
Solution de contournement
- Il n’existe pas actuellement de solution de contournement.