Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Exécution de code arbitraire à distance
Systèmes affectés
- F5 BIG-IP versions 13.x antérieures à 13.1.5
- F5 BIG-IP versions 14.x antérieures à 14.1.4.6
- F5 BIG-IP versions 15.x antérieures à 15.1.5.1
- F5 BIG-IP versions 16.x antérieures à 16.1.2.2
Les versions suivantes de F5 sont également vulnérables mais ne sont plus maintenues par l’éditeur :
- F5 BIG-IP des versions 12.1.0 aux versions 12.1.6
- F5 BIG-IP des versions 11.6.1 aux versions 11.6.5
Résumé
La vulnérabilité CVE-2022-1388 affectant les équipements BIG-IP de F5 Networks a été annoncée le 4 mai 2022. Elle permet de contourner le mécanisme d’authentification et d’invoquer les fonctions d’interprétation de commandes systèmes disponibles au travers de l’interface de programmation (API) iControl. Il est en particulier possible d’invoquer une invite de commande (bash) qui sera exécutée avec les droits root, permettant donc de prendre le contrôle de l’équipement.
L’API iControl REST permet l’automatisation de certaines tâches d’administration. Elle est accessible depuis l’interface d’administration de l’équipement mais également depuis les adresses IP dénommées self-IP qui peuvent être configurées via le menu Network / Self-IPs dans les différents VLANs auxquels ces équipements sont connectés.
Le CERT-FR recommande de ne pas exposer les interfaces et API d'administration sur Internet.
Cette vulnérabilité a déjà été mentionnée dans le bulletin d’actualité hebdomadaire du 09 mai 2022. Toutefois, les analyses techniques publiées récemment confirment la facilité d’exploitation de cette vulnérabilité et des codes d’exploitation sont désormais disponibles. Par ailleurs, certaines versions affectées ne disposent pas de correctif et les possibilités d’une exploitation par l’intermédiaire d’un réseau interne ne peuvent pas être exclues.
Contournement provisoire
S’il n’est pas possible de procéder à l’installation d’une version de BIG-IP corrigeant la vulnérabilité, se référer aux mesures de contournement proposées par l’éditeur [3] à la section Mitigation.
Solution
Le CERT-FR recommande fortement d’appliquer les correctifs fournis par l’éditeur, se référer à l’avis émis par le CERT-FR [1] [2] pour plus d’information.
Pour les versions 11.x et 12.x de BIG-IP, il est nécessaire d’effectuer
une montée de version afin de corriger la vulnérabilité.
Se référer à l’article K5903
[4] pour identifier les
versions de BIG-IP supportées par F5.
De manière générale, il faut a minima prendre les mesures nécessaires pour que l’interface de gestion d’un équipement ne soit accessible que depuis un réseau sécurisé. Le CERT-FR rappelle également que l'éditeur a publié des bonnes pratiques afin de sécuriser l'administration de ses équipements [5]. Il convient notamment de :
- Connecter le port d'administration sur un réseau d'administration sécurisé ;
- Interdire l'accès aux interfaces d’administration (notamment mui et iControl) via les adresses IP Self-IP ;
Rappels :
- Le guide d’hygiène informatique : https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf
- Recommandations relatives à l’administration sécurisée des systèmes d’information : https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/
- Recommandations sur le nomadisme numérique : https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/
Liens :
Documentation
- Référence CVE CVE-2022-1388 https://www.cve.org/CVERecord?id=CVE-2022-1388