Détection CVE-2022-1388 : Vulnérabilité BIG-IP iControl REST

[post-views]
mai 09, 2022 · 4 min de lecture
Détection CVE-2022-1388 : Vulnérabilité BIG-IP iControl REST

F5 Networks, une entreprise spécialisée dans le développement et la distribution de solutions logicielles et matérielles, a publié un avis de sécurité le 4 mai 2022, abordant un certain nombre de problèmes dans leurs produits. Peu de temps après, la famille de produits BIG-IP a été frappée par de multiples exploitations dans la nature suite à la publication publique d’une preuve de concept pour une nouvelle faille RCE critique.

La vulnérabilité critique suivie sous le nom CVE-2022-1388 se trouve dans un iControl REST, permettant aux attaquants d’exécuter du code à distance (RCE) pour prendre le contrôle des machines ciblées.

Détecter CVE-2022-1388

Utilisez les règles Sigma ci-dessous développées par les experts chevronnés de l’équipe SOC Prime pour suivre en temps opportun les tentatives d’exploit des CVE-2022-1388 :

Tentative possible d’exploitation de l’iControl REST BIG-IP CVE-2022-1388 (via serveur web)

Tentative possible de découverte de l’iControl REST BIG-IP CVE-2022-1388 (via serveur web)

Les règles sont alignées avec la dernière version v.10 du cadre MITRE ATT&CK®, abordant la tactique d’accès initial avec la technique Exploiter une application exposée à Internet (T1190) comme technique principale.

Si vous êtes un chercheur en sécurité expérimenté ou un chasseur professionnel, le programme Threat Bounty de SOC Prime est une opportunité unique de traquer les menaces au sein de plus de 25 technologies SIEM, EDR et XDR prises en charge, et de gagner des récompenses récurrentes. La vaste bibliothèque de règles de SOC Prime compte plus de 155 000 détections uniques, avec plus de 140 nouvelles détections ajoutées chaque mois. Parcourez la bibliothèque en appuyant sur le bouton Voir les détections , ou soumettez vos règles Sigma ou YARA en rejoignant le programme Threat Bounty.

Voir les détections Rejoindre le Threat Bounty

CVE-2022-1388 : Analyse et Atténuation du RCE BIG-IP

Une nouvelle vulnérabilité critique dans F5 BIG-IP fait grand bruit. Classée CVE-2022-1388 avec un score CVSS de 9,8, la vulnérabilité permet à un pirate distant de contourner l’authentification iControl REST et d’exécuter du code arbitraire, gérer les données et services sur un appareil compromis, se propageant à d’autres machines. Les chercheurs spéculent que les premières recommandations d’atténuation de la CVE-2022-1388 publiées par F5 le 4 mai 2022, n’ont pas vraiment résolu la faille mais ont orienté les adversaires vers les points faibles des produits affectés. released by F5 on May 4, 2022, have not really addressed the flaw but navigated adversaries to the weak spots of affected products.  

Cette faille de contournement de l’authentification iControl REST affecte certains outils de la famille de produits BIG-IP. Le trou de sécurité est classé comme un problème de Authentification manquante pour une fonction critique .

Au 9 mai 2022, F5 a déjà corrigé la CVE-2022-1388, donc tous les utilisateurs sont encouragés à appliquer les mises à jour publiées. En tant que solutions de contournement supplémentaires contre la vulnérabilité, il est possible de restreindre l’accès à l’interface iControl REST via des adresses IP propres ainsi que d’appliquer des modifications de sécurité supplémentaires pour une atténuation temporaire de ce problème critique pour les appareils BIG-IP.

À l’heure actuelle, la faille est agressivement exploitée dans la nature, avec de plus en plus de preuves de concepts apparaissant en ligne chaque jour. Les adversaires optent principalement pour installer un shell web pour accéder et prendre le contrôle du système compromis et se déplacer latéralement vers d’autres machines. Tous les utilisateurs des produits F5 affectés doivent être en état d’alerte élevé.

Envie de découvrir de nouveaux contenus de détection et d’améliorer vos pratiques de chasse aux menaces ? Parcourez une vaste bibliothèque de contenus de détection et chassez instantanément les dernières menaces dans votre environnement SIEM ou XDR – inscrivez-vous gratuitement. Ou rejoignez le Threat Bounty Program pour créer votre propre contenu et le partager avec la communauté de la cybersécurité.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom 6 min de lecture Dernières Menaces Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom by Daryna Olyniychuk Vulnérabilité CVE-2025-6558 : Zero-Day Google Chrome en Exploitation Active 4 min de lecture Dernières Menaces Vulnérabilité CVE-2025-6558 : Zero-Day Google Chrome en Exploitation Active by Daryna Olyniychuk CVE-2025-25257 : Faille critique d’injection SQL dans FortiWeb permettant l’exécution de code à distance sans authentification 4 min de lecture Dernières Menaces CVE-2025-25257 : Faille critique d’injection SQL dans FortiWeb permettant l’exécution de code à distance sans authentification by Veronika Telychko
Toutes les actualités