CVE-2022-1388 (CVSS 9.8) : Vulnérabilité critique qui impact le firewall F5 BIG-IP

CVE-2022-1388 (CVSS 9.8) : Vulnérabilité critique qui impact le firewall F5 BIG-IP

Rappel : L’article qui va suivre contient des techniques et méthodes qui peuvent s’avérer être illégales et dangereuses si elles sont utilisées à mauvais escient. Ce tutoriel ne doit en aucun cas être utilisé contre un particulier, une entreprise, une organisation à but non lucratif ou une administration publique de quelconque pays. Je me dédouane de toute responsabilité en cas de problèmes ou d’incidents de quelque nature que ce soit après le visionnage de cet article.

***For education purpose only***

Il y a quelques semaines, F5 a publié un avis de sécurité pour une vulnérabilité d’exécution de code à distance (RCE) dans le composant iControlREST de son produit BIG-IP. Cette vulnérabilité est indentifié par la CVE-2022-1388 . Pour résumer brièvement, cette faille permet de contourner l’authentification HTTP et d’exécuter du code arbitraire « as ROOT« . Il s’agit d’une vulnérabilité très critique et qui n’est pas très difficile à exploiter. Elle nécessite une attention immédiate, car elle a reçu un score CVSS de 9 .

Voici les versions du produit concerné :

  • 16.1.0 – 16.1.2
  • 15.1.0 – 15.1.5
  • 14.1.0 – 14.1.4
  • 13.1.0 – 13.1.4
  • 12.1.0 – 12.1.6
  • 11.6.1 – 11.6.5

PoC (Proof of Concept)

Environnement d’éxécution

  • Kali linux : 192.168.130.128
  • F5 BIP-IP 16.1.2 : (Interface mgmt : 192.168.130.135)

Voici une vidéo que j’ai réalisée il y a peu de temps qui vous montre comment exploiter cette vulnérabilité très facilement :

Comment corriger cette faille sur vos firewall F5 Big-IP ?

F5 recommande de mettre à jour les équipements F5 BIG-IP vers l’une des versions suivantes qui ont des correctifs pour contre-carrer la CVE-2022-1388 :

  • 17.0.0
  • 16.1.2.2
  • 15.1.5.1
  • 14.1.4.6
  • 13.1.5

++

Geoffrey

Geoffrey Sauvageot-Berland

Ingénieur diplômé par l’état en Informatique et Cybersécurité. Généraliste, à l'origine administrateur systèmes et réseaux, j’occupe actuellement un poste d’auditeur en sécurité offensive. J’apprécie également la programmation/automatisation. Fondateur du blog : "Le Guide du SecOps", anciennement "Le Guide du SysOps"

Related Posts

Tester la sécurité d’une API : Un Guide Pratique

Tester la sécurité d’une API : Un Guide Pratique

Weevely – un Webshell interactif polyvalent (cheat sheet)

Weevely – un Webshell interactif polyvalent (cheat sheet)

Configuration d’un relais Tor (Guard/Middle Node)

Configuration d’un relais Tor (Guard/Middle Node)

Reconstruction d’OS non chiffrés : Analyse post-exploitation

Reconstruction d’OS non chiffrés : Analyse post-exploitation