7 failles dans les produits Big-IP de F5 Networks

le 11/03/2021, par Dominique Filippone, Réseaux, 413 mots

F5 Networks a émis un bulletin d'alerte de sécurité pour corriger 7 failles dont 4 critiques touchant ses solutions Big-IP. Les produits F5OS et Traffix SDC ne sont pas concernés.

7 failles dans les produits Big-IP de F5 Networks

Spécialisé dans la sécurité des applications, la gestion du trafic ainsi que l'automatisation et l'orchestration des déploiements réseaux, F5 est en alerte rouge. Quelques mois après la découverte de graves failles affectant ses produits Big-IP - dont une ayant reçu un score cvss de 10 - le fournisseur a émis un bulletin de sécurité concernant 7 failles dont 4 critiques. Découvertes le 10 mars 2021, elles nécessitent une grande vigilance de la part des entreprises ayant installé des produits Big-IP ltm, aam, advanced waf, afm, analytics, apm, asm, ddhd, dns, fps, gtm et link controller), mais aussi Big-IQ centralized management.

La CVE-2021-22986 (critique et score cvss de 9,8) touche les versions 16.0.0-16.0.1, 15.1.0-15.1.2, 14.1.0-14.1.3.1, 13.1.0-13.1.3.5, 12.1.0-12.1.5.2 de tous les modules Big-IP ainsi que les versions 7.1.0-7.1.0.27.0.0-7.0.0.16.0.0-6.1.0 de Big-IQ. « Cette vulnérabilité permet aux attaquants non authentifiés disposant d'un accès réseau à l'interface icontrol rest via l'interface de gestion Big-IP et les adresses IP personnelles, d'exécuter des commandes système arbitraires, de créer ou de supprimer des fichiers et de désactiver des services. Cette vulnérabilité ne peut être exploitée que via le plan de contrôle et ne peut pas être exploitée via le plan de données. L'exploitation peut conduire à une compromission complète du système. Le système Big-IP en mode appliance est également vulnérable », prévient F5.

Des mesures d'atténuation en attendant de mettre à jour

Les autres failles critiques sont les CVE-2021-22987CVE-2021-22991 et CVE-2021-22992, tandis que deux autres sont classées comme importantes (CVE-2021-22988 et CVE-2021-22989) et une dernière présentant un risque qualifié de moyen (CVE-2021-22990). « En raison de la gravité de ces vulnérabilités, F5 recommande à tous les clients d'installer les versions corrigées dès que possible. Les sept vulnérabilités sont comblées dans les versions Big-IP suivantes: 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 et 11.6.5.3. La CVE-2021-22986 affecte également Big-IQ, et ceci est corrigé dans les versions 8.0.0, 7.1.0.3 et 7.0.0.2 », prévient F5.

Si l'installation d'une version corrigée des solutions Big-IP et Big-IQ n'est pas possible dans l'immédiat, F5 recommande des mesures d'atténuation à appliquer en attendant. Selon les failles, celles-ci varient par exemple en restreignant l'accès à icontrol rest aux seuls réseaux ou appareils de confiance, bloquer tout accès à l'utilitaire de configuration d'un système Big-IP en utilisant des adresses IP personnelles. Ou encore associer un irule (script de contrôle pour manipuler et gérer directement tout trafic d'application IP) aux serveurs virtuels concernés. 

Plus de 10 000 certifications délivrées par Cisco DevNet

Le portefeuille de certifications DevNet de Cisco se concentre sur la programmation, l'automatisation et le développement d'applications réseau, des compétences logicielles plus essentielles que jamais. Depuis...

le 13/04/2021, par Michael Cooney, IDG NS (adapté par Jean Elyan), 1514 mots

Arista met à jour sa plate-forme CloudVision avec des fonctions cloud...

Présentée par Arista, la mise à jour CloudVision 2021 permet de faciliter l'automatisation et la gestion des flux de travail distribués. Afin de faciliter la gestion et l'automatisation des workflows...

le 08/04/2021, par Michael Cooney, IDG NS (adapté par Jean Elyan), 675 mots

ThousandEyes s'invite dans les switchs Catalyst

Lors du Cisco Live ! 2021, organisé en ligne du 30 mars au 1er avril, Cisco a annoncé l'intégration de la technologie ThousandEyes aux commutateurs Cat 9000 et au tableau de bord AppDynamics. Selon Cisco, les...

le 01/04/2021, par Michael Cooney, IDG NS (adapté par Jean Elyan), 714 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...