7 failles dans les produits Big-IP de F5 Networks

le 11/03/2021, par Dominique Filippone, Réseaux, 413 mots

F5 Networks a émis un bulletin d'alerte de sécurité pour corriger 7 failles dont 4 critiques touchant ses solutions Big-IP. Les produits F5OS et Traffix SDC ne sont pas concernés.

7 failles dans les produits Big-IP de F5 Networks

Spécialisé dans la sécurité des applications, la gestion du trafic ainsi que l'automatisation et l'orchestration des déploiements réseaux, F5 est en alerte rouge. Quelques mois après la découverte de graves failles affectant ses produits Big-IP - dont une ayant reçu un score cvss de 10 - le fournisseur a émis un bulletin de sécurité concernant 7 failles dont 4 critiques. Découvertes le 10 mars 2021, elles nécessitent une grande vigilance de la part des entreprises ayant installé des produits Big-IP ltm, aam, advanced waf, afm, analytics, apm, asm, ddhd, dns, fps, gtm et link controller), mais aussi Big-IQ centralized management.

La CVE-2021-22986 (critique et score cvss de 9,8) touche les versions 16.0.0-16.0.1, 15.1.0-15.1.2, 14.1.0-14.1.3.1, 13.1.0-13.1.3.5, 12.1.0-12.1.5.2 de tous les modules Big-IP ainsi que les versions 7.1.0-7.1.0.27.0.0-7.0.0.16.0.0-6.1.0 de Big-IQ. « Cette vulnérabilité permet aux attaquants non authentifiés disposant d'un accès réseau à l'interface icontrol rest via l'interface de gestion Big-IP et les adresses IP personnelles, d'exécuter des commandes système arbitraires, de créer ou de supprimer des fichiers et de désactiver des services. Cette vulnérabilité ne peut être exploitée que via le plan de contrôle et ne peut pas être exploitée via le plan de données. L'exploitation peut conduire à une compromission complète du système. Le système Big-IP en mode appliance est également vulnérable », prévient F5.

Des mesures d'atténuation en attendant de mettre à jour

Les autres failles critiques sont les CVE-2021-22987CVE-2021-22991 et CVE-2021-22992, tandis que deux autres sont classées comme importantes (CVE-2021-22988 et CVE-2021-22989) et une dernière présentant un risque qualifié de moyen (CVE-2021-22990). « En raison de la gravité de ces vulnérabilités, F5 recommande à tous les clients d'installer les versions corrigées dès que possible. Les sept vulnérabilités sont comblées dans les versions Big-IP suivantes: 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 et 11.6.5.3. La CVE-2021-22986 affecte également Big-IQ, et ceci est corrigé dans les versions 8.0.0, 7.1.0.3 et 7.0.0.2 », prévient F5.

Si l'installation d'une version corrigée des solutions Big-IP et Big-IQ n'est pas possible dans l'immédiat, F5 recommande des mesures d'atténuation à appliquer en attendant. Selon les failles, celles-ci varient par exemple en restreignant l'accès à icontrol rest aux seuls réseaux ou appareils de confiance, bloquer tout accès à l'utilitaire de configuration d'un système Big-IP en utilisant des adresses IP personnelles. Ou encore associer un irule (script de contrôle pour manipuler et gérer directement tout trafic d'application IP) aux serveurs virtuels concernés. 

Cisco se prépare au travail hybride

Les employés de Cisco passent au télétravail certains jours de la semaine et utiliseront le matériel réseau de l'équipementier pour se connecter à distance. Les travailleurs distants ne seront plus traités...

le 02/08/2021, par Michael Cooney, IDG NS (adapté par Jean Elyan), 1086 mots

L'option open switch fait son chemin dans les entreprises

L'intégration de commutateurs et de routeurs en marque blanche dans les réseaux d'entreprise n'est pas sans difficultés, mais des déploiements bien dimensionnés et contrôlés peuvent permettre de réaliser des...

le 15/07/2021, par Tom Nolle, IDG NS (adapté par Jean Elyan), 1348 mots

Vilo perturbe le marché des routeurs avec un réseau maillé à 30€...

Comment profiter de l'impressionnante couverture d'un réseau maillé sans avoir à payer de surcoût pour la dernière technologie WiFi ? Vilo Living a, semble-t-il, la solution. Vilo Living n'est peut-être pas...

le 13/07/2021, par Mark Hachman, PC World (adaptation Jean Elyan), 567 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Olivier Pomel

CEO de Datadog

« Intégrer la sécurité aux projets DevOps est évident »