Critical Vulnerabilities in F5 BIG-IP, BIG-IQ Enable Remote Code Execution on Vulnerable Systems
Table des matières :
Le 10 mars 2021, F5 a corrigé un ensemble de problèmes de sécurité critiques qui pourraient être exploités par des attaquants à distance pour obtenir un contrôle total sur les hôtes vulnérables. Selon le fournisseur, quatre bugs critiques existent dans ses produits BIG-IP et BIG-IQ, permettant l’exécution de code à distance (RCE) sur les instances affectées. L’existence de failles de sécurité pourrait avoir des conséquences dévastatrices puisque 48 des 50 entreprises du Fortune 50 dépendent des produits d’infrastructure réseau d’entreprise de F5. Cette liste comprend des fournisseurs technologiques renommés, des agences gouvernementales, des prestataires de soins de santé, des institutions financières et des entreprises de télécommunications.
Vulnérabilités critiques dans F5 BIG-IP, BIG-IQ
Les failles les plus urgentes et déplorables sont CVE-2021-22986 et CVE-2021-22987, qui ont reçu des scores de gravité CVSS de 9,8 et 9,9, respectivement. Le premier problème (CVE-2021-22986) est une vulnérabilité d’exécution de commande à distance non authentifiée résidant dans l’interface iControl REST. Elle permet aux pirates d’exécuter des commandes système arbitraires, de créer/supprimer des fichiers et de gérer les services système. Le second bug (CVE-2021-22987) provient d’une mauvaise configuration dans l’interface utilisateur de gestion du trafic (TMUI) et entraîne une RCE authentifiée sur des pages non divulguées si elles fonctionnent en mode application.
Les deux autres bugs critiques de F5 BIG-IP et BIG-IQ (CVE-2021-22991, CVE-2021-22992) sont des problèmes de débordement de tampon provenant du micro-noyau de gestion du trafic (TMM) et des serveurs virtuels WAF/ASM avancés. Les deux failles ont reçu une note de gravité CVSS de 9,0, permettant l’exécution de code à distance et un déni de service (DoS) sur les installations touchées.
Outre les problèmes de sécurité critiques, F5 a corrigé deux bugs de haute gravité (CVE-2021-22988, CVE-2021-22989) et un bug de gravité moyenne (CVE-2021-2290) entraînant également l’exécution de code à distance.
Détection et Atténuation
Selon l’ avis de F5, les quatre failles critiques affectent les versions 11.6 ou 12.x et plus récentes de BIG-IP, avec l’une d’elles affectant également les versions 6.x et 7.x de BIG-IQ. Le correctif de sécurité pour les problèmes a été publié cette semaine, il est donc conseillé aux utilisateurs de mettre à jour rapidement.
Pour détecter les tentatives d’exploitation possibles et permettre une défense proactive contre les intrusions, l’équipe SOC Prime a publié un ensemble de règles Sigma disponibles sur le Threat Detection Marketplace.
Possible F5 CVE-2021-22991 (via Zeek)
Possible F5 CVE-2021-22992 (via web)
Restez à l’écoute de notre blog pour ne pas manquer les mises à jour et nouvelles détections liées à ces failles dangereuses. Toutes les informations fraîches et les prochaines règles Sigma seraient ajoutées à cet article.
F5 est la deuxième entreprise leader mondial à corriger de toute urgence des failles extrêmement dangereuses dans ses produits. Au début de mars 2021, Microsoft a traité plusieurs vulnérabilités de type zero-day affectant son Exchange Server. Les failles ont été immédiatement exploitées dans la nature par de multiples acteurs menaçants, y compris Hafnium APT, affilié à la Chine. L’équipe SOC Prime a publié un ensemble de règles Sigma pour permettre une détection rapide et une défense proactive contre ces problèmes zero-day. La liste des détections est disponible dans notre article de blog. De plus, des règles ont été ajoutées à Uncoder.io, l’outil de SOC Prime pour convertir le format de règle Sigma en contenu de détection de menaces adapté à la plateforme de sécurité utilisée.
Abonnez-vous au Threat Detection Marketplace, la première plateforme de Contenu en tant que Service (CaaS) et Detection as Code qui agrège la plus grande bibliothèque mondiale de règles de détection et de réponse, de parseurs, de requêtes de recherche et d’autres contenus SOC sélectionnés. Plus de 300 contributeurs enrichissent notre bibliothèque mondiale chaque jour pour permettre une détection continue des menaces cybernétiques les plus alarmantes aux premiers stades du cycle de vie de l’attaque. Vous voulez participer à ces activités de chasse aux menaces ? Rejoignez le Programme de primes aux menaces de SOC Prime pour un avenir plus sûr!