
Plusieurs vulnérabilités de sécurité ont été révélées dans les appareils F5 BIG-IP et BIG-IQ qui, si elles sont exploitées avec succès, compromettent complètement les systèmes concernés. La société de cybersécurité Rapid7 a déclaré que les failles pourraient être exploitées pour accéder à distance aux appareils et contourner les contraintes de sécurité. Les problèmes affectent les versions 13.x, 14.x, 15.x, 16.x et 17.x de BIG-IP et les versions 7.x et 8.x de gestion centralisée de BIG-IQ.
Les deux problèmes de gravité élevée, qui ont été signalés à F5 le 18 août 2022, sont les suivants :
CVE-2022-41622 (score CVSS : 8,8) – Une vulnérabilité de falsification de requête intersite (CSRF) via iControl SOAP, entraînant l’exécution de code à distance non authentifié.
CVE-2022-41800 (score CVSS : 8,7) – Une vulnérabilité iControl REST qui pourrait permettre à un utilisateur authentifié avec un rôle d’administrateur de contourner les restrictions du mode Appliance.
« En exploitant avec succès la pire des vulnérabilités (CVE-2022-41622), un attaquant pourrait obtenir un accès root persistant à l’interface de gestion de l’appareil (même si l’interface de gestion n’est pas accessible sur Internet) », a déclaré le chercheur de Rapid7, Ron Bowes. Cependant, il convient de noter qu’un tel exploit nécessite qu’un administrateur ayant une session active visite un site Web hostile. Trois cas différents de contournement de sécurité ont également été identifiés, qui, selon F5, ne peuvent pas être exploités sans d’abord briser les barrières de sécurité existantes via un mécanisme auparavant non documenté. Si un tel scénario se présentait, un adversaire disposant d’un accès Advanced Shell (bash) à l’appliance pourrait exploiter ces faiblesses pour exécuter des commandes système arbitraires, créer ou supprimer des fichiers ou désactiver des services. Bien que F5 n’ait fait aucune mention des vulnérabilités exploitées dans les attaques, il est recommandé aux utilisateurs d’appliquer les correctifs nécessaires au fur et à mesure qu’ils deviennent disponibles pour atténuer les risques potentiels.