Le BSI a émis un avertissement de sécurité concernant une vulnérabilité dans les produits BIG-IP de F5. La vulnérabilité est classée par le BSI comme une menace informatique de niveau 2, c'est-à-dire jaune. La valeur CVSS, cependant, avec 9,8 - critique. Les administrateurs doivent vérifier les systèmes et prendre des mesures.
Le 4 mai 2022, F5 a publié un avis de sécurité concernant une vulnérabilité qui pourrait permettre aux attaquants d'exécuter des commandes, de désactiver des services, de créer/supprimer des fichiers et, finalement, de prendre le contrôle de la famille de solutions BIG-IP. La raison principale en est une vulnérabilité dans l'authentification de l'interface iControl REST (CVE-2022-1388). La vulnérabilité est classée comme « critique » avec une valeur de 9.8 selon le Common Vulnerability Scoring System (CVSS) (CVSSv3).
Vulnérabilité dans la famille de produits BIG-IP
Les composants avec les versions BIG-IP suivantes sont concernés :
- 16.1.0 – 16.1.2
- 15.1.0 – 15.1.5
- 14.1.0 – 14.1.4
- 13.1.0 – 13.1.4
- 12.1.0 – 12.1.6 (Fin du support régulier déjà atteint.)
- 11.6.1 – 11.6.5 (Fin du support régulier déjà atteint.)
Selon le BSI : après que le fabricant a annoncé les faits, de plus en plus de rapports sur les portails informatiques et les médias sociaux ont indiqué que l'exploitation de la vulnérabilité était considérée comme particulièrement facile. Entre autres choses, les chercheurs en sécurité de la société Horizon3.ai ont annoncé le 7 mai 2022 qu'ils publieraient un code de preuve de concept (code PoC) pour la vulnérabilité au cours de la semaine civile en cours (semaine 19). D'autres messages sur les faits décrits suggèrent que les PoC seront également publiés par d'autres sources dans un proche avenir ou sont déjà en circulation.
Plus sur BSI.Bund.de
À propos de l'Office fédéral de la sécurité de l'information (BSI) L'Office fédéral de la sécurité de l'information (BSI) est l'autorité fédérale de cybersécurité et le concepteur de la numérisation sécurisée en Allemagne. L'énoncé de mission : Le BSI, en tant qu'autorité fédérale de cybersécurité, conçoit la sécurité de l'information dans la numérisation par la prévention, la détection et la réponse pour l'État, les entreprises et la société.