xiaoliangge - Fotolia

Actualites

F5 BIG-IP : des correctifs à appliquer d’urgence pour une nouvelle vulnérabilité

Dévoilée le 4 mai aux côtés des correctifs nécessaires, la vulnérabilité CVE-2022-1388 commence déjà à être exploitée à des fins malveillantes. Les attaques observées recouvrent pour l’heure l’installation de web shells.

Valéry Rieß-Marchive
par
Publié le: 09 mai 2022

Le 4 mai, F5 a publié une alerte de sécurité concernant les systèmes BIG-IP. Elle portait sur une vulnérabilité permettant de contourner les mécanismes d’authentification de l’interface REST de l’API iControl – une API d’administration des équipements BIG-IP.

Référencée CVE-2022-1388, cette vulnérabilité concerne la plateforme BIG-IP dans ses versions 11.6.1 à 11.6.5, 12.1.0 à 12.1.6, 13.1.0 à 13.1.4, 14.1.0 à 14.1.4, 15.1.0 à 15.1.5, et 16.1.0 à 16.1.2. Des correctifs sont disponibles, sauf pour les versions 11.x et 12.x affectées. F5 détaille les dispositions à prendre pour prévenir l’exploitation de la vulnérabilité dans le cas où l’application des correctifs s’avérerait impossible – où dans celui de leur absence.

Dès le 4 mai, les autorités américaines ont relayé l’alerte, encourageant à l’application la plus rapide des correctifs ou des mesures de prévention. Le Cert-FR a fait de même le lendemain. Il y a de quoi : cette vulnérabilité est comparable à d’autres ayant par le passé affecté des équipements réseau et été utilisées pour lancer des cyberattaques. Et selon les équipes d’Horizon3, la CVE-2022-1388 est « triviale à exploiter ».

Le 7 mai, celles-ci ont ainsi annoncé avoir mis au point un démonstrateur fonctionnel d’exploitation de la vulnérabilité : « nous le diffuserons la semaine prochaine pour donner plus de temps aux organisations d’appliquer les correctifs », expliquaient-elles alors sur Twitter. Le même jour, l’équipe de sécurité offensive de Positive Technologies annonçait également avoir développé un démonstrateur fonctionnel.

Mais ce 9 mai au matin, un démonstrateur a été rendu public sur Twitter. Et Germán Fernández, chercheur en sécurité chez CRONUP, indique déjà avoir observé des tentatives d’exploitation malveillante avec l’installation d’une web shell comme porte dérobée : ce type d’interface permet à l’assaillant de maintenir un accès au système compromis, via une interface Web, une sorte de tête de pont pour infiltrer le système d’information auquel l’équipement réseau affecté peut donner accès.

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)