Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Élévation de privilèges

Systèmes affectés

  • F5 BIG-IP (tous modules) versions 17.0.0.x antérieures à 17.0.0.2
  • F5 BIG-IP (tous modules) versions 16.1.x antérieures à 16.1.3.3
  • F5 BIG-IP (tous modules) versions 15.1.x antérieures à 15.1.8.1
  • F5 BIG-IP (tous modules) versions 14.1.x antérieures à 14.1.5.3
  • BIG-IP APM Clients versions 7.2.x antérieures à 7.2.31
  • BIG-IP SPK version 1.6.0

F5 indique ne pas avoir publié de correctif de sécurité pour la vulnérabilité CVE-2023-22374. Toutefois des mesures de contournement ainsi qu'un correctif temporaire sont disponibles. Cette vulnérabilité permet à un attaquant authentifié d'effectuer un déni de service et possiblement d'exécuter du code arbitraire à distance.

Des détails concernant cette vulnérabilité ont été publiés en source ouverte. Le CERT-FR anticipe donc que des preuves de concept seront rapidement disponibles publiquement, au moins en ce qui concerne le déni de service.

Résumé

De multiples vulnérabilités ont été découvertes dans F5 BIG-IP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation