7 failles dans les produits Big-IP de F5 Networks

le 11/03/2021, par Dominique Filippone, Réseaux, 413 mots

F5 Networks a émis un bulletin d'alerte de sécurité pour corriger 7 failles dont 4 critiques touchant ses solutions Big-IP. Les produits F5OS et Traffix SDC ne sont pas concernés.

7 failles dans les produits Big-IP de F5 Networks

Spécialisé dans la sécurité des applications, la gestion du trafic ainsi que l'automatisation et l'orchestration des déploiements réseaux, F5 est en alerte rouge. Quelques mois après la découverte de graves failles affectant ses produits Big-IP - dont une ayant reçu un score cvss de 10 - le fournisseur a émis un bulletin de sécurité concernant 7 failles dont 4 critiques. Découvertes le 10 mars 2021, elles nécessitent une grande vigilance de la part des entreprises ayant installé des produits Big-IP ltm, aam, advanced waf, afm, analytics, apm, asm, ddhd, dns, fps, gtm et link controller), mais aussi Big-IQ centralized management.

La CVE-2021-22986 (critique et score cvss de 9,8) touche les versions 16.0.0-16.0.1, 15.1.0-15.1.2, 14.1.0-14.1.3.1, 13.1.0-13.1.3.5, 12.1.0-12.1.5.2 de tous les modules Big-IP ainsi que les versions 7.1.0-7.1.0.27.0.0-7.0.0.16.0.0-6.1.0 de Big-IQ. « Cette vulnérabilité permet aux attaquants non authentifiés disposant d'un accès réseau à l'interface icontrol rest via l'interface de gestion Big-IP et les adresses IP personnelles, d'exécuter des commandes système arbitraires, de créer ou de supprimer des fichiers et de désactiver des services. Cette vulnérabilité ne peut être exploitée que via le plan de contrôle et ne peut pas être exploitée via le plan de données. L'exploitation peut conduire à une compromission complète du système. Le système Big-IP en mode appliance est également vulnérable », prévient F5.

Des mesures d'atténuation en attendant de mettre à jour

Les autres failles critiques sont les CVE-2021-22987CVE-2021-22991 et CVE-2021-22992, tandis que deux autres sont classées comme importantes (CVE-2021-22988 et CVE-2021-22989) et une dernière présentant un risque qualifié de moyen (CVE-2021-22990). « En raison de la gravité de ces vulnérabilités, F5 recommande à tous les clients d'installer les versions corrigées dès que possible. Les sept vulnérabilités sont comblées dans les versions Big-IP suivantes: 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 et 11.6.5.3. La CVE-2021-22986 affecte également Big-IQ, et ceci est corrigé dans les versions 8.0.0, 7.1.0.3 et 7.0.0.2 », prévient F5.

Si l'installation d'une version corrigée des solutions Big-IP et Big-IQ n'est pas possible dans l'immédiat, F5 recommande des mesures d'atténuation à appliquer en attendant. Selon les failles, celles-ci varient par exemple en restreignant l'accès à icontrol rest aux seuls réseaux ou appareils de confiance, bloquer tout accès à l'utilitaire de configuration d'un système Big-IP en utilisant des adresses IP personnelles. Ou encore associer un irule (script de contrôle pour manipuler et gérer directement tout trafic d'application IP) aux serveurs virtuels concernés. 

Un centre de recherche sur les réseaux quantiques inauguré chez AWS

Lancé par AWS, le centre de recherche sur les réseaux quantiques AWS Center for Quantum Networking (CQN) se concentrera sur le matériel, les logiciels et les applications de communication. Amazon Web Services ...

le 23/06/2022, par Michael Cooney, IDG NS (adapté par Jean Elyan), 607 mots

Une plateforme Tacacs+ en mode cloud chez Portnox

La solution Tacacs+ as a Service de Portnox vise à rendre la technologie d'authentification, d'autorisation et de comptabilité réseau plus attractive pour les entreprises de taille moyenne. La plupart des...

le 22/06/2022, par John P. Mello Jr, IDG NS (adaptation Jean Elyan), 590 mots

Les projets Calisti et Panoptica au coeur du programme innovation de...

A travers son programme dédié aux technologies émergentes, Cisco mise sur plusieurs programmes. Le premier est Calisti, un gestionnaire de service mesh basé sur Istio. Le second est Panoptica, une solution...

le 17/06/2022, par Jacques Cheminat, 609 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...