Les versions suivantes de F5 sont \u00e9galement vuln\u00e9rables mais ne sont plus maintenues par l\u2019\u00e9diteur :
F5 BIG-IP des versions 12.1.0 aux versions 12.1.6
F5 BIG-IP des versions 11.6.1 aux versions 11.6.5
","closed_at":"2022-09-16","content":"## Contournement provisoire\n\nS\u2019il n\u2019est pas possible de proc\u00e9der \u00e0 l\u2019installation d\u2019une version de\nBIG-IP corrigeant la vuln\u00e9rabilit\u00e9, se r\u00e9f\u00e9rer aux mesures de\ncontournement propos\u00e9es par\nl\u2019\u00e9diteur\u00a0[\\[3\\]](https://support.f5.com/csp/article/K23605346) \u00e0 la\nsection *Mitigation*.\n\n## Solution\n\nLe CERT-FR recommande fortement d\u2019appliquer les correctifs fournis par\nl\u2019\u00e9diteur, se r\u00e9f\u00e9rer \u00e0 l\u2019avis \u00e9mis par le CERT-FR\n[\\[1\\]](https://cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-019/)\n[\\[2\\]](/avis/CERTFR-2022-AVI-419/) pour\nplus d\u2019information.\n\nPour les versions 11.x et 12.x de BIG-IP, il est n\u00e9cessaire d\u2019effectuer\nune mont\u00e9e de version afin de corriger la vuln\u00e9rabilit\u00e9. \nSe r\u00e9f\u00e9rer \u00e0 l\u2019article K5903\n[\\[4\\]](https://support.f5.com/csp/article/K5903) pour identifier les\nversions de BIG-IP support\u00e9es par F5.\n\nDe mani\u00e8re g\u00e9n\u00e9rale, il faut *a minima*\u00a0prendre les mesures n\u00e9cessaires\npour que l\u2019interface de gestion d\u2019un \u00e9quipement ne soit accessible que\ndepuis un r\u00e9seau s\u00e9curis\u00e9. Le CERT-FR rappelle \u00e9galement que l'\u00e9diteur a\npubli\u00e9 des bonnes pratiques afin de s\u00e9curiser l'administration de ses\n\u00e9quipements [\\[5\\]](https://support.f5.com/csp/article/K13092). Il\nconvient notamment de :\n\n- Connecter le port d'administration sur un r\u00e9seau d'administration\n s\u00e9curis\u00e9 ;\n- Interdire l'acc\u00e8s aux interfaces d\u2019administration (notamment mui et\n iControl) *via* les adresses IP *Self-IP* ;\n\nRappels :\n\n- Le guide d\u2019hygi\u00e8ne informatique\n :\u00a0\n- Recommandations relatives \u00e0 l\u2019administration s\u00e9curis\u00e9e des syst\u00e8mes\n d\u2019information\n :\u00a0\n- Recommandations sur le nomadisme num\u00e9rique\n :\u00a0\n\nLiens\u00a0:\n\n- \\[1\\] [Bulletin d\u2019actualit\u00e9\n CERTFR-2022-ACT-019](https://cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-019/)\n- \\[2\\] [Avis CERTFR-2022-AVI-419 - Multiples vuln\u00e9rabilit\u00e9s dans les\n produits F5](/avis/CERTFR-2022-AVI-419/)\n- \\[3\\] [BIG-IP iControl REST vulnerability\n CVE-2022-1388](https://support.f5.com/csp/article/K23605346)\n- \\[4\\] [BIG-IP software support\n policy](https://support.f5.com/csp/article/K5903)\n- \\[5\\] [Overview of securing access to the BIG-IP\n system](https://support.f5.com/csp/article/K13092)\n\n","cves":[{"name":"CVE-2022-1388","url":"https://www.cve.org/CVERecord?id=CVE-2022-1388"}],"links":[],"reference":"CERTFR-2022-ALE-004","revisions":[{"description":"Version initiale","revision_date":"2022-05-11T00:00:00.000000"},{"description":"Cloture de l'alerte","revision_date":"2022-09-16T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"},{"description":"Atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es"}],"summary":"La vuln\u00e9rabilit\u00e9\n[CVE-2022-1388](https://www.cve.org/CVERecord?id=2022-1388) affectant\nles \u00e9quipements BIG-IP de F5 Networks a \u00e9t\u00e9 annonc\u00e9e le 4 mai 2022. Elle\npermet de contourner le m\u00e9canisme d\u2019authentification et d\u2019invoquer les\nfonctions d\u2019interpr\u00e9tation de commandes syst\u00e8mes disponibles au travers\nde l\u2019interface de programmation *(API)* iControl. Il est en particulier\npossible d\u2019invoquer une invite de commande *(bash)* qui sera ex\u00e9cut\u00e9e\navec les droits *root*, permettant donc de prendre le contr\u00f4le de\nl\u2019\u00e9quipement.\n\nL\u2019API iControl REST permet l\u2019automatisation de certaines t\u00e2ches\nd\u2019administration. Elle est accessible depuis l\u2019interface\nd\u2019administration de l\u2019\u00e9quipement mais \u00e9galement depuis les adresses IP\nd\u00e9nomm\u00e9es *self-IP* qui peuvent \u00eatre configur\u00e9es *via* le menu *Network*\n/ *Self-IPs* dans les diff\u00e9rents VLANs auxquels ces \u00e9quipements sont\nconnect\u00e9s.\n\nLe CERT-FR recommande de ne pas exposer les interfaces et API\nd'administration sur Internet.\n\nCette vuln\u00e9rabilit\u00e9 a d\u00e9j\u00e0 \u00e9t\u00e9 mentionn\u00e9e dans le bulletin d\u2019actualit\u00e9\nhebdomadaire du 09 mai 2022. Toutefois, les analyses techniques publi\u00e9es\nr\u00e9cemment confirment la facilit\u00e9 d\u2019exploitation de cette vuln\u00e9rabilit\u00e9\net des codes d\u2019exploitation sont d\u00e9sormais disponibles. Par ailleurs,\ncertaines versions affect\u00e9es ne disposent pas de correctif et les\npossibilit\u00e9s d\u2019une exploitation par l\u2019interm\u00e9diaire d\u2019un r\u00e9seau interne\nne peuvent pas \u00eatre exclues.\n","title":"Vuln\u00e9rabilit\u00e9 dans F5 BIG-IP","vendor_advisories":[]}