Une preuve de concept (PoC) a été développée pour une vulnérabilité critique dans le logiciel de mise en réseau BIG-IP de F5 qui pourrait exposer des milliers d’utilisateurs à une prise de contrôle à distance.

La vulnérabilité, identifiée comme CVE-2022-1388, pourrait permettre à un attaquant de faire des demandes non divulguées pour contourner l’authentification iControl REST.

En cas d’exploitation, un utilisateur non authentifié pourrait obtenir l’exécution de code à distance (RCE) sur un appareil affecté.

Des milliers de personnes vulnérables

Révélé la semaine dernière, le bogue affecte plusieurs versions du logiciel de gestion de réseau, qui serait utilisé par plus de 35 000 entreprises.

« Cette vulnérabilité peut permettre à un attaquant non authentifié disposant d’un accès réseau au système BIG-IP via le port de gestion et/ou des adresses IP propres d’exécuter des commandes système arbitraires, de créer ou de supprimer des fichiers ou de désactiver des services », prévient un avis de sécurité.

« Il n’y a pas d’exposition au plan de données ; il s’agit uniquement d’un problème de plan de contrôle.

Des PoC sont maintenant publiés pour la vulnérabilité, car les équipes de recherche sur les menaces avertissent les utilisateurs de corriger immédiatement.

Tous les deux PT Essaim et Équipe d’attaque Horizon3 ont publié des PoC distincts. Les deux invitent les utilisateurs à appliquer le correctif si possible.

Atténuations

F5 a publié une liste des versions vulnérables et a partagé des conseils sur la façon de se protéger contre la faille.

Le conseil se lit comme suit : « Si vous exécutez une version répertoriée dans la colonne des versions connues pour être vulnérables, vous pouvez éliminer cette vulnérabilité en installant une version répertoriée dans les correctifs introduits dans la colonne.

« Si les correctifs introduits dans la colonne ne répertorient pas de version pour votre branche, aucun candidat de mise à jour n’existe actuellement pour cette branche et F5 recommande de passer à une version avec le correctif (reportez-vous au tableau).

« Si les correctifs introduits dans la colonne répertorient une version antérieure à celle que vous exécutez, dans la même branche, votre version devrait avoir le correctif. »

Paul Bischoff, défenseur de la confidentialité chez Comparitech, a commenté : « Les développeurs d’applications utilisant les services BIG-IP doivent immédiatement prendre des mesures pour atténuer la vulnérabilité jusqu’à ce qu’un correctif soit prêt.

« Ces étapes incluent le blocage de l’accès à l’interface iControl REST de votre système BIG-IP, la restriction de l’accès uniquement aux utilisateurs et appareils de confiance et/ou la modification de la configuration httpd de BIG-IP.

« Les applications utilisant BIG-IP peuvent facilement être découvertes et ciblées à l’aide d’un moteur de recherche comme Shodan, les développeurs doivent donc s’attendre à ce que les attaquants exploitent les systèmes vulnérables dans un proche avenir. »