Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- BIG-IP versions 12.x antérieures à 12.1.5.3
- BIG-IP versions 13.x antérieures à 13.1.3.6
- BIG-IP versions 14.x antérieures à 14.1.4
- BIG-IP versions 15.x antérieures à 15.1.2.1
- BIG-IP versions 16.x antérieures à 16.0.1.1
Résumé
[mise à jour du 22 mars 2021]
Un nouveau vecteur d'attaque a été publié qui ne requiert plus d'exploiter une SSRF et de nouveaux codes d'attaques sont désormais disponibles. Toute requête HTTP de type POST reçue par l'API REST iControl serait par conséquent potentiellement malveillante.
[version originale]
Dans son bulletin d'actualité du 15 mars 2021, le CERT-FR soulignait la gravité de plusieurs vulnérabilités affectant les équipements BIG-IP de F5 Networks, et notamment la CVE-2021-22986.
Le 19 mars 2021, l'éditeur indique que des attaques massives sont en cours, attaques également détectées par des sources telles que [1].
La vulnérabilité CVE-2021-22986 est une vulnérabilité de type 'SSRF' (Server Side Request Forgery) qui permet à un attaquant non authentifié ayant un accès à l'API REST iControl de provoquer une exécution de code arbitraire à distance.
Cette API permet l'automatisation de certaines tâches d'administration. Elle est accessible depuis l'interface d'administration de l'équipement mais également depuis les adresses IP dénommées self-IPs qui peuvent être configurées via le menu Network / Self-IPs dans les différents VLANs auxquels ces équipements sont connectés.
Contournement provisoire
Si la mise à jour des équipements ne peut pas être réalisée dans les plus brefs délais, l'éditeur recommande fortement de restreindre l'accès à l'API REST iControl depuis les Self-IPs et de n'autoriser que des équipements de confiance. Se référer à la section 'Mitigation' de l'avis de l'éditeur. Des informations complémentaires sont disponibles dans la Foire Aux Questions (FAQ) publiée par l'éditeur [2].
Solution
Le CERT-FR rappelle que cette vulnérabilité fait partie d'un ensemble de 21 vulnérabilités corrigées par l'éditeur le 09 mars 2021 dont 4 vulnérabilités critiques (se référer à l'avis CERT-FR et au bulletin CERT-FR pour plus de détails). Le CERT-FR recommande donc fortement d'appliquer les mises à jour sans délai.
Cependant, l'exploitation actuelle par des groupes d'attaquants de la vulnérabilité CVE-2021-22986 peut nécessiter d'appliquer le contournement dans un premier temps.
Par ailleurs, le CERT-FR recommande fortement :
- de procéder à l’analyse des équipements afin d’identifier une possible compromission en s'appuyant sur les indicateurs de compromission décrits dans [1] et en se référant aux conseils généraux de l'éditeur [3] ;
- en cas de compromission, de contrôler le système d’information pour détecter d’éventuelles latéralisations dans le système d'information.
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.
Documentation
- [1] https://research.nccgroup.com/2021/03/18/rift-detection-capabilities-for-recent-f5-big-ip-big-iq-icontrol-rest-api-vulnerabilities-cve-2021-22986/
- [2] https://support.f5.com/csp/article/K04532512
- [3] https://support.f5.com/csp/article/K11438344
- Avis de sécurité CERT-FR CERTFR-2021-AVI-189 du 11 mars 2021 https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-189/
- Bulletin d'actualité CERT-FR CERTFR-2021-ACT-010 du 15 mars 2021 https://www.cert.ssi.gouv.fr/actualite/CERTFR-2021-ACT-010/
- Bulletin de sécurité F5 K03009991 du 10 mars 2021 https://support.f5.com/csp/article/K03009991
- Référence CVE CVE-2021-22986 https://www.cve.org/CVERecord?id=CVE-2021-22986