Other official information and services: www.belgium.be

Multiple vulnérabilités affectant F5 BIG-IP

Référence:

Advisory #2020-023

Version:

1.0

Logiciels concernés :

BIG-IP versions (11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x)

Type:

Exécution de code arbitraire à distance & Cross-site-scripting (XXS)

CVE/CVSS:

CVE-2020-5902 (CVSSv3: 10)
CVE-2020-5903 (CVSSv3: 7.5)

Date:

08/07/2020

Sources

(1) https://support.f5.com/csp/article/K52145254
(2) https://support.f5.com/csp/article/K43638305
(3) https://www.ptsecurity.com/ww-en/about/news/f5-fixes-critical-vulnerabil...
(4) https://fr.tenable.com/blog/cve-2020-5902-critical-vulnerability-in-f5-b...
(5) https://research.nccgroup.com/2020/07/05/rift-f5-networks-k52145254-tmui...

Risques

Deux vulnérabilités ont été découvertes dans l'interface de configuration du contrôleur de livraison d'applications (ADC) BIG-IP. La vulnérabilité Cross-Site Scripting (XSS), CVE-2020-5903, pourrait permettre à un acteur malveillant d’injecter du code JavaScript avec les privilèges de l’utilisateur. Un acteur malveillant non authentifié pourrait également exploiter la vulnérabilité, CVE-2020-5902, afin d'exécuter des commandes système et du code Java arbitraires, de créer ou de supprimer des fichiers, d'intercepter des informations, ainsi que de désactiver des services sur l’appareille vulnérable.

Description

L'interface administrative BIG-IP est l'un des produits de mise en réseau les plus populaires développé par F5 Networks. Les appareilles BIG-IP peuvent être configurés comme des systèmes de mise en forme du trafic, des équilibreurs de charge, des pare-feu, des passerelles d'accès, des limiteurs de débit ou des intergiciels SSL.
Un chercheur en sécurité de Positive Technologies a découvert deux vulnérabilités affectant l'utilitaire de configuration, également appelé "Traffic Management User Interface" (TMUI).
La vulnérabilité, CVE-2020-5903, permet d’injecter du code JavaScript et celle-ci est classée comme "élevée".
CVE-2020-5902, est une faille d'exécution de code à distance permettant à un acteur malveillant d’avoir le contrôle d'un système qui n’a pas été mise à jour. Cette vulnérabilité est classée comme "critique". Des experts en cybersécurité ont découvert des acteurs malveillants exploiter activement cette vulnérabilité en vue d'une éventuelle cyber-attaque.
Des preuves de concept pour la vulnérabilité, CVE-2020-5902, ont été publiées. Ces preuves de concepts permettent notamment d'accéder à des fichiers de configurations.

Actions recommandées

Le CCB recommande aux administrateurs système d'appliquer le plus rapidement possible les derniers correctifs pour les deux vulnérabilités (CVE-2020-5903(2) et CVE-2020-5902(1)) publiées par le fournisseur.
Si la correction immédiate de la vulnérabilité CVE-2020-5902 n'est pas possible, F5 Networks propose des solutions de contournement(2) permettant de se prémunir contre un accès non autorisé par un acteur malveillant non authentifié.