www.belgium.be Logo of the federal government

DES VULNÉRABILITÉS CRITIQUES DANS LES SYSTÈMES F5 BIG-IP ET BIG-IQ DÉSORMAIS LARGEMENT EXPLOITÉES

Référence: 
Advisory #2021-0004
Version: 
1.0
Logiciels concernés : 
F5 BIG-IP (cf. tableau pour les versions vulnérables)
F5 BIG-IQ (cf. tableau pour les versions vulnérables)
Type: 
Débordement de mémoire tampon, Exécution de code arbitraire à distance
CVE/CVSS: 

Score CVSS : le plus élevé est à 9.9/10

  • CVE-2021-22986 (CVSS: 9.8)
  • CVE-2021-22987 (CVSS: 9.9)
  • CVE-2021-22991 (CVSS: 9.0)
  • CVE-2021-22992 (CVSS: 9.0)

Sources

Fabricant officiel : https://support.f5.com/csp/article/K02566623

Risques

Les quatre vulnérabilités critiques sont brièvement décrites ci-après.
 
Les versions non vulnérables des produits figurent dans les tableaux correspondants.

CVE-2021-22986

Un acteur malveillant qui exploite la vulnérabilité CVE-2021-22986 peut exécuter des commandes système arbitraires, créer ou supprimer des fichiers et désactiver des services. L'exploitation peut compromettre l’ensemble du système. Le système BIG-IP en mode Appliance est également vulnérable.

Selon les observations, cette vulnérabilité est activement exploitée.

Référence du vendeur : https://support.f5.com/csp/article/K03009991

Produits touchés : F5 BIG-IP (CVE-2021-22986)

BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)

Branche Versions vulnérables Versions non-vulnérables
16.X 16.0.0 - 16.0.1 16.0.1.1
15.X 15.1.0 - 15.1.2 15.1.2.1
14.X 14.1.0 - 14.1.3 14.1.4
13.X 13.1.0 - 13.1.3 13.1.3.6
12.X 12.1.0 - 12.1.5 12.1.5.3*
11.X 11.6.1 - 11.6.5 11.6.5.3

* Un problème a été découvert avec le processus bigd dans la version 12.1.5.3. Pour plus d'informations, consultez le document K50524736 : Fuite de mémoire du processus bigd après la mise à jour vers BIG-IP 12.1.5.3. (https://support.f5.com/csp/article/K50524736)

Produits touchés : F5 BIG-IQ (CVE-2021-22986)

Branche Versions vulnérables Versions non-vulnérables
8.X Aucune 8.0.0
7.X 7.0.0
7.1.0
7.0.0.2
7.1.0.3
6.X 6.0.0 - 6.1.0 Aucune

CVE-2021-22987

Un acteur malveillant qui exploite la vulnérabilité CVE-2021-22987 peut procéder à une « exécution de commande à distance de manière authentifiée » dans des pages cachées.

Référence du vendeur :https://support.f5.com/csp/article/K18132488

Produits touchés : F5 BIG-IP (CVE-2021-22987)

BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)

Branche Versions vulnérables Versions non-vulnérables
16.X 16.0.0 - 16.0.1 16.0.1.1
15.X 15.1.0 - 15.1.2 15.1.2.1
14.X 14.1.0 - 14.1.3 14.1.4
13.X 13.1.0 - 13.1.3 13.1.3.6
12.X 12.1.0 - 12.1.5 12.1.5.3*
11.X Aucune Pas d’application

* Un problème a été découvert avec le processus bigd dans la version 12.1.5.3. Pour plus d'informations, consultez le document K50524736 : Fuite de mémoire du processus bigd après la mise à jour vers BIG-IP 12.1.5.3. (https://support.f5.com/csp/article/K50524736)

CVE-2021-22991

Un acteur malveillant qui exploite la vulnérabilité CVE-2021-22991 peut provoquer un débordement de mémoire tampon lorsque le Traffic Management Microkernel (TMM) gère des demandes cachées.

Référence du vendeur :https://support.f5.com/csp/article/K56715231

Produits touchés : F5 BIG-IP (CVE-2021-22991)

BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)

Branche Versions vulnérables Versions non-vulnérables
16.X 16.0.0 - 16.0.1 16.0.1.1
15.X 15.1.0 - 15.1.2 15.1.2.1
14.X 14.1.0 - 14.1.3 14.1.4
13.X 13.1.0 - 13.1.3 13.1.3.6
12.X 12.1.0 - 12.1.5 12.1.5.3*
11.X Aucune Pas d'application

* Un problème a été découvert avec le processus bigd dans la version 12.1.5.3. Pour plus d'informations, consultez le document K50524736 : Fuite de mémoire du processus bigd après la mise à jour vers BIG-IP 12.1.5.3. (https://support.f5.com/csp/article/K50524736)

CVE-2021-22992

Un acteur malveillant tirant profit de CVE-2021-22992 peut exploiter cette vulnérabilité en envoyant une réponse HTTP malveillante à un serveur virtuel Advanced WAF/ASM paramétré avec l’option « Login Page » et ainsi provoquer un débordement de mémoire tampon donnant lieu à une attaque de type Déni de Service (Denial of Service).

Référence du vendeur :https://support.f5.com/csp/article/K52510511

Produits touchés : F5 BIG-IP (CVE-2021-22992)

BIG-IP (Advanced WAF et ASM)

Branche Versions vulnérables Versions non-vulnérables
16.X 16.0.0 - 16.0.1 16.0.1.1
15.X 15.1.0 - 15.1.2 15.1.2.1
14.X 14.1.0 - 14.1.3 14.1.4
13.X 13.1.0 - 13.1.3 13.1.3.6
12.X 12.1.0 - 12.1.5 12.1.5.3*
11.X 11.6.1 - 11.6.5 11.6.5.3

* Un problème a été découvert avec le processus bigd dans la version 12.1.5.3. Pour plus d'informations, consultez le document K50524736 : Fuite de mémoire du processus bigd après la mise à jour vers BIG-IP 12.1.5.3. (https://support.f5.com/csp/article/K50524736)

Description

Ce sont au total 21 vulnérabilités, y compris quatre vulnérabilités CRITIQUES, qui ont été rapportées.

4 CVE critiques :

  • CVE-2021-22986 : la vulnérabilité des produits F5 BIG-IP et F5 BIG-IQ se caractérise par une vulnérabilité d’exécution de code arbitraire à distance.
  • CVE-2021-22987 : vulnérabilité d’exécution de code arbitraire à distance lorsque le mode « Appliance » est enclenché.
  • CVE-2021-22991 : vulnérabilité de type débordement de mémoire tampon du Traffic Management Microkernel (TMM).
  • CVE-2021-22992 : vulnérabilité de type débordement de mémoire tampon de la page de connexion du serveur virtuel WAF/BIG-IP ASM.
Le site Internet du vendeur présente d’autres vulnérabilités classes HIGH (7) ou MEDIUM (10) : https://support.f5.com/csp/article/K02566623.

Actions recommandées

Le CERT.be recommande de suivre les actions recommandées par le vendeur pour les produits F5 BIG-IP et BIG-IQ : https://support.f5.com/csp/article/K03009991.

Le CERT.be conseille de mettre à jour les produits F5 BIG-IP et BIG-IQ vers une version non vulnérable (voir tableaux ci-dessus).

Le vendeur a publié le document « Considerations and guidance when you suspect a security compromise » sur un système BIG-IP : https://support.f5.com/csp/article/K11438344.

Le CERT.be recommande de procéder à des vérifications sur les systèmes F5 et les fichiers journaux pour déceler d’éventuelles activités suspectes.

Références

Fabricant :

Autres:

https://research.nccgroup.com/2021/03/18/rift-detection-capabilities-for-recent-f5-big-ip-big-iq-icontrol-rest-api-vulnerabilities-cve-2021-22986/