Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
- F5 BIG-IP (tous modules) versions 17.0.0.x antérieures à 17.0.0.2
- F5 BIG-IP (tous modules) versions 16.1.x antérieures à 16.1.3.3
- F5 BIG-IP (tous modules) versions 15.1.x antérieures à 15.1.8.1
- F5 BIG-IP (tous modules) versions 14.1.x antérieures à 14.1.5.3
- BIG-IP APM Clients versions 7.2.x antérieures à 7.2.31
- BIG-IP SPK version 1.6.0
F5 indique ne pas avoir publié de correctif de sécurité pour la vulnérabilité CVE-2023-22374. Toutefois des mesures de contournement ainsi qu'un correctif temporaire sont disponibles. Cette vulnérabilité permet à un attaquant authentifié d'effectuer un déni de service et possiblement d'exécuter du code arbitraire à distance.
Des détails concernant cette vulnérabilité ont été publiés en source ouverte. Le CERT-FR anticipe donc que des preuves de concept seront rapidement disponibles publiquement, au moins en ce qui concerne le déni de service.
Résumé
De multiples vulnérabilités ont été découvertes dans F5 BIG-IP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité F5 K000130496 du 01 février 2023 https://my.f5.com/manage/s/article/K000130496
- Référence CVE CVE-2023-22281 https://www.cve.org/CVERecord?id=CVE-2023-22281
- Référence CVE CVE-2023-22283 https://www.cve.org/CVERecord?id=CVE-2023-22283
- Référence CVE CVE-2023-22302 https://www.cve.org/CVERecord?id=CVE-2023-22302
- Référence CVE CVE-2023-22323 https://www.cve.org/CVERecord?id=CVE-2023-22323
- Référence CVE CVE-2023-22326 https://www.cve.org/CVERecord?id=CVE-2023-22326
- Référence CVE CVE-2023-22340 https://www.cve.org/CVERecord?id=CVE-2023-22340
- Référence CVE CVE-2023-22341 https://www.cve.org/CVERecord?id=CVE-2023-22341
- Référence CVE CVE-2023-22358 https://www.cve.org/CVERecord?id=CVE-2023-22358
- Référence CVE CVE-2023-22374 https://www.cve.org/CVERecord?id=CVE-2023-22374
- Référence CVE CVE-2023-22418 https://www.cve.org/CVERecord?id=CVE-2023-22418
- Référence CVE CVE-2023-22422 https://www.cve.org/CVERecord?id=CVE-2023-22422
- Référence CVE CVE-2023-22657 https://www.cve.org/CVERecord?id=CVE-2023-22657
- Référence CVE CVE-2023-22664 https://www.cve.org/CVERecord?id=CVE-2023-22664
- Référence CVE CVE-2023-22839 https://www.cve.org/CVERecord?id=CVE-2023-22839
- Référence CVE CVE-2023-22842 https://www.cve.org/CVERecord?id=CVE-2023-22842
- Référence CVE CVE-2023-23552 https://www.cve.org/CVERecord?id=CVE-2023-23552
- Référence CVE CVE-2023-23555 https://www.cve.org/CVERecord?id=CVE-2023-23555
