7 failles dans les produits Big-IP de F5 Networks

le 11/03/2021, par Dominique Filippone, Réseaux, 413 mots

F5 Networks a émis un bulletin d'alerte de sécurité pour corriger 7 failles dont 4 critiques touchant ses solutions Big-IP. Les produits F5OS et Traffix SDC ne sont pas concernés.

7 failles dans les produits Big-IP de F5 Networks

Spécialisé dans la sécurité des applications, la gestion du trafic ainsi que l'automatisation et l'orchestration des déploiements réseaux, F5 est en alerte rouge. Quelques mois après la découverte de graves failles affectant ses produits Big-IP - dont une ayant reçu un score cvss de 10 - le fournisseur a émis un bulletin de sécurité concernant 7 failles dont 4 critiques. Découvertes le 10 mars 2021, elles nécessitent une grande vigilance de la part des entreprises ayant installé des produits Big-IP ltm, aam, advanced waf, afm, analytics, apm, asm, ddhd, dns, fps, gtm et link controller), mais aussi Big-IQ centralized management.

La CVE-2021-22986 (critique et score cvss de 9,8) touche les versions 16.0.0-16.0.1, 15.1.0-15.1.2, 14.1.0-14.1.3.1, 13.1.0-13.1.3.5, 12.1.0-12.1.5.2 de tous les modules Big-IP ainsi que les versions 7.1.0-7.1.0.27.0.0-7.0.0.16.0.0-6.1.0 de Big-IQ. « Cette vulnérabilité permet aux attaquants non authentifiés disposant d'un accès réseau à l'interface icontrol rest via l'interface de gestion Big-IP et les adresses IP personnelles, d'exécuter des commandes système arbitraires, de créer ou de supprimer des fichiers et de désactiver des services. Cette vulnérabilité ne peut être exploitée que via le plan de contrôle et ne peut pas être exploitée via le plan de données. L'exploitation peut conduire à une compromission complète du système. Le système Big-IP en mode appliance est également vulnérable », prévient F5.

Des mesures d'atténuation en attendant de mettre à jour

Les autres failles critiques sont les CVE-2021-22987CVE-2021-22991 et CVE-2021-22992, tandis que deux autres sont classées comme importantes (CVE-2021-22988 et CVE-2021-22989) et une dernière présentant un risque qualifié de moyen (CVE-2021-22990). « En raison de la gravité de ces vulnérabilités, F5 recommande à tous les clients d'installer les versions corrigées dès que possible. Les sept vulnérabilités sont comblées dans les versions Big-IP suivantes: 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 et 11.6.5.3. La CVE-2021-22986 affecte également Big-IQ, et ceci est corrigé dans les versions 8.0.0, 7.1.0.3 et 7.0.0.2 », prévient F5.

Si l'installation d'une version corrigée des solutions Big-IP et Big-IQ n'est pas possible dans l'immédiat, F5 recommande des mesures d'atténuation à appliquer en attendant. Selon les failles, celles-ci varient par exemple en restreignant l'accès à icontrol rest aux seuls réseaux ou appareils de confiance, bloquer tout accès à l'utilitaire de configuration d'un système Big-IP en utilisant des adresses IP personnelles. Ou encore associer un irule (script de contrôle pour manipuler et gérer directement tout trafic d'application IP) aux serveurs virtuels concernés. 

Cisco muscle les capacités de Catalyst SD-WAN

Gestion du routage, intégration avec les systèmes Microsoft Sentinel et Skyhigh Security, et commutateur Catalyst edge font partie des mises à jour. La série d'améliorations apportées par Cisco à son offre...

le 28/09/2023, par Michael Conney, IDg NS (adapté par Jean Elyan), 797 mots

Aruba Networks s'intéresse aux PME avec ses routeurs WiFi 6

La gamme Instant On de HPE Aruba vise à simplifier le déploiement et la gestion des réseaux (WIFi et filaire) pour les petites et moyennes entreprises. Le point d'accès et le commutateur annoncés par la...

le 26/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 445 mots

Les applications d'IA, de sécurité et de mise en réseau poussent à...

Les commutateurs intelligents smartswitchs, comme le switch CX 10000 d'Aruba, stimulent l'utilisation des DPU dans les entreprises. Parce qu'elles exigent des performances système accrues, les applications...

le 12/09/2023, par Michael Conney, IDg NS (adapté par Jean Elyan), 1654 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...