CVE-2022-1388 (CVSS 9.8) : Vulnérabilité critique qui impact le firewall F5 BIG-IP

Publié par Geoffrey Sauvageot-Berland le

Rappel : L’article qui va suivre contient des techniques et méthodes qui peuvent s’avérer être illégales et dangereuses si elles sont utilisées à mauvais escient. Ce tutoriel ne doit en aucun cas être utilisé contre un particulier, une entreprise, une organisation à but non lucratif ou une administration publique de quelconque pays. Je me dédouane de toute responsabilité en cas de problèmes ou d’incidents de quelque nature que ce soit après le visionnage de cet article.

***For education purpose only***

Il y a quelques semaines, F5 a publié un avis de sécurité pour une vulnérabilité d’exécution de code à distance (RCE) dans le composant iControlREST de son produit BIG-IP. Cette vulnérabilité est indentifié par la CVE-2022-1388 . Pour résumer brièvement, cette faille permet de contourner l’authentification HTTP et d’exécuter du code arbitraire « as ROOT« . Il s’agit d’une vulnérabilité très critique et qui n’est pas très difficile à exploiter. Elle nécessite une attention immédiate, car elle a reçu un score CVSS de 9 .

Voici les versions du produit concerné :

  • 16.1.0 – 16.1.2
  • 15.1.0 – 15.1.5
  • 14.1.0 – 14.1.4
  • 13.1.0 – 13.1.4
  • 12.1.0 – 12.1.6
  • 11.6.1 – 11.6.5

PoC (Proof of Concept)

Environnement d’éxécution

  • Kali linux : 192.168.130.128
  • F5 BIP-IP 16.1.2 : (Interface mgmt : 192.168.130.135)

Voici une vidéo que j’ai réalisée il y a peu de temps qui vous montre comment exploiter cette vulnérabilité très facilement :

Comment corriger cette faille sur vos firewall F5 Big-IP ?

F5 recommande de mettre à jour les équipements F5 BIG-IP vers l’une des versions suivantes qui ont des correctifs pour contre-carrer la CVE-2022-1388 :

  • 17.0.0
  • 16.1.2.2
  • 15.1.5.1
  • 14.1.4.6
  • 13.1.5

++

Geoffrey


En savoir plus sur Le Guide Du SecOps

Subscribe to get the latest posts sent to your email.


Geoffrey Sauvageot-Berland

Ingénieur diplômé par l’état en Informatique et Cybersécurité. Généraliste, à l'origine administrateur systèmes et réseaux, j’occupe actuellement un poste d’auditeur en sécurité offensive. J’apprécie également la programmation/automatisation. Fondateur du blog : "Le Guide du SecOps", anciennement "Le Guide du SysOps"

En savoir plus sur Le Guide Du SecOps

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continuer la lecture