CERTFR-2021-ALE-006
Vulnerability from certfr_alerte

[mise à jour du 22 mars 2021]

Un nouveau vecteur d'attaque a été publié qui ne requiert plus d'exploiter une SSRF et de nouveaux codes d'attaques sont désormais disponibles. Toute requête HTTP de type POST reçue par l'API REST iControl serait par conséquent potentiellement malveillante.

[version originale]

Dans son bulletin d'actualité du 15 mars 2021, le CERT-FR soulignait la gravité de plusieurs vulnérabilités affectant les équipements BIG-IP de F5 Networks, et notamment la CVE-2021-22986.

Le 19 mars 2021, l'éditeur indique que des attaques massives sont en cours, attaques également détectées par des sources telles que [1].

La vulnérabilité CVE-2021-22986 est une vulnérabilité de type 'SSRF' (Server Side Request Forgery) qui permet à un attaquant non authentifié ayant un accès à l'API REST iControl de provoquer une exécution de code arbitraire à distance.

Cette API permet l'automatisation de certaines tâches d'administration. Elle est accessible depuis l'interface d'administration de l'équipement mais également depuis les adresses IP dénommées self-IPs qui peuvent être configurées via le menu Network / Self-IPs dans les différents VLANs auxquels ces équipements sont connectés.

Contournement provisoire

Si la mise à jour des équipements ne peut pas être réalisée dans les plus brefs délais, l'éditeur recommande fortement de restreindre l'accès à l'API REST iControl depuis les Self-IPs et de n'autoriser que des équipements de confiance. Se référer à la section 'Mitigation' de l'avis de l'éditeur. Des informations complémentaires sont disponibles dans la Foire Aux Questions (FAQ) publiée par l'éditeur [2].

Solution

Le CERT-FR rappelle que cette vulnérabilité fait partie d'un ensemble de 21 vulnérabilités corrigées par l'éditeur le 09 mars 2021 dont 4 vulnérabilités critiques (se référer à l'avis CERT-FR et au bulletin CERT-FR pour plus de détails). Le CERT-FR recommande donc fortement d'appliquer les mises à jour sans délai.

Cependant, l'exploitation actuelle par des groupes d'attaquants de la vulnérabilité CVE-2021-22986 peut nécessiter d'appliquer le contournement dans un premier temps.

Par ailleurs, le CERT-FR recommande fortement :

  • de procéder à l’analyse des équipements afin d’identifier une possible compromission en s'appuyant sur les indicateurs de compromission décrits dans [1] et en se référant aux conseils généraux de l'éditeur [3] ;
  • en cas de compromission, de contrôler le système d’information pour détecter d’éventuelles latéralisations dans le système d'information.

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Impacted products
Vendor Product Description
F5 BIG-IP BIG-IP versions 16.x antérieures à 16.0.1.1
F5 BIG-IP BIG-IP versions 13.x antérieures à 13.1.3.6
F5 BIG-IP BIG-IP versions 12.x antérieures à 12.1.5.3
F5 BIG-IP BIG-IP versions 15.x antérieures à 15.1.2.1
F5 BIG-IP BIG-IP versions 14.x antérieures à 14.1.4
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "BIG-IP versions 16.x ant\u00e9rieures \u00e0 16.0.1.1",
      "product": {
        "name": "BIG-IP",
        "vendor": {
          "name": "F5",
          "scada": false
        }
      }
    },
    {
      "description": "BIG-IP versions 13.x ant\u00e9rieures \u00e0 13.1.3.6",
      "product": {
        "name": "BIG-IP",
        "vendor": {
          "name": "F5",
          "scada": false
        }
      }
    },
    {
      "description": "BIG-IP versions 12.x ant\u00e9rieures \u00e0 12.1.5.3",
      "product": {
        "name": "BIG-IP",
        "vendor": {
          "name": "F5",
          "scada": false
        }
      }
    },
    {
      "description": "BIG-IP versions 15.x ant\u00e9rieures \u00e0 15.1.2.1",
      "product": {
        "name": "BIG-IP",
        "vendor": {
          "name": "F5",
          "scada": false
        }
      }
    },
    {
      "description": "BIG-IP versions 14.x ant\u00e9rieures \u00e0 14.1.4",
      "product": {
        "name": "BIG-IP",
        "vendor": {
          "name": "F5",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "",
  "closed_at": "2021-04-15",
  "content": "## Contournement provisoire\n\nSi la mise \u00e0 jour des \u00e9quipements ne peut pas \u00eatre r\u00e9alis\u00e9e dans les\nplus brefs d\u00e9lais, l\u0027\u00e9diteur recommande fortement de restreindre l\u0027acc\u00e8s\n\u00e0 l\u0027*API REST iControl* depuis les *Self-IPs* et de n\u0027autoriser que des\n\u00e9quipements de confiance. Se r\u00e9f\u00e9rer \u00e0 la section \u0027Mitigation\u0027 de l\u0027avis\nde l\u0027\u00e9diteur. Des informations compl\u00e9mentaires sont disponibles dans la\nFoire Aux Questions (FAQ) publi\u00e9e par l\u0027\u00e9diteur \\[2\\].\n\n## Solution\n\nLe CERT-FR rappelle que cette vuln\u00e9rabilit\u00e9 fait partie d\u0027un ensemble de\n21 vuln\u00e9rabilit\u00e9s corrig\u00e9es par l\u0027\u00e9diteur le 09 mars 2021 dont 4\nvuln\u00e9rabilit\u00e9s critiques (se r\u00e9f\u00e9rer \u00e0 l\u0027avis CERT-FR et au bulletin\nCERT-FR pour plus de d\u00e9tails). Le CERT-FR recommande donc fortement\nd\u0027appliquer les mises \u00e0 jour sans d\u00e9lai.\n\nCependant, l\u0027exploitation actuelle par des groupes d\u0027attaquants de la\nvuln\u00e9rabilit\u00e9 CVE-2021-22986 peut n\u00e9cessiter d\u0027appliquer le\ncontournement dans un premier temps.\n\nPar ailleurs, le CERT-FR recommande fortement :\n\n-   de proc\u00e9der \u00e0 l\u2019analyse des \u00e9quipements afin d\u2019identifier une\n    possible compromission en s\u0027appuyant sur les indicateurs de\n    compromission d\u00e9crits dans \\[1\\] et en se r\u00e9f\u00e9rant aux conseils\n    g\u00e9n\u00e9raux de l\u0027\u00e9diteur \\[3\\] ;\n-   en cas de compromission, de contr\u00f4ler le syst\u00e8me d\u2019information pour\n    d\u00e9tecter d\u2019\u00e9ventuelles lat\u00e9ralisations dans le syst\u00e8me\n    d\u0027information.\n\n------------------------------------------------------------------------\n\nLa mise \u00e0 jour d\u0027un produit ou d\u0027un logiciel est une op\u00e9ration d\u00e9licate\nqui doit \u00eatre men\u00e9e avec prudence. Il est notamment recommand\u00e9\nd\u0027effectuer des tests autant que possible. Des dispositions doivent\n\u00e9galement \u00eatre prises pour garantir la continuit\u00e9 de service en cas de\ndifficult\u00e9s lors de l\u0027application des mises \u00e0 jour comme des correctifs\nou des changements de version.\n",
  "cves": [
    {
      "name": "CVE-2021-22986",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-22986"
    }
  ],
  "initial_release_date": "2021-03-22T00:00:00",
  "last_revision_date": "2021-04-15T00:00:00",
  "links": [
    {
      "title": "[1]",
      "url": "https://research.nccgroup.com/2021/03/18/rift-detection-capabilities-for-recent-f5-big-ip-big-iq-icontrol-rest-api-vulnerabilities-cve-2021-22986/"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 CERT-FR CERTFR-2021-AVI-189 du 11 mars 2021",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-189/"
    },
    {
      "title": "[2]",
      "url": "https://support.f5.com/csp/article/K04532512"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 F5 K03009991 du 10 mars 2021",
      "url": "https://support.f5.com/csp/article/K03009991"
    },
    {
      "title": "Bulletin d\u0027actualit\u00e9 CERT-FR CERTFR-2021-ACT-010 du 15 mars 2021",
      "url": "https://www.cert.ssi.gouv.fr/actualite/CERTFR-2021-ACT-010/"
    },
    {
      "title": "[3]",
      "url": "https://support.f5.com/csp/article/K11438344"
    }
  ],
  "reference": "CERTFR-2021-ALE-006",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2021-03-22T00:00:00.000000"
    },
    {
      "description": "d\u00e9couverte d\u0027une nouvelle m\u00e9thode d\u0027attaque",
      "revision_date": "2021-03-22T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2021-04-15T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cstrong\u003e\\[mise \u00e0 jour du 22 mars 2021\\]\u003c/strong\u003e\n\nUn nouveau vecteur d\u0027attaque a \u00e9t\u00e9 publi\u00e9 qui ne requiert plus\nd\u0027exploiter une *SSRF* et de nouveaux codes d\u0027attaques sont d\u00e9sormais\ndisponibles. Toute requ\u00eate *HTTP* de type *POST* re\u00e7ue par l\u0027*API REST\niControl* serait par cons\u00e9quent potentiellement malveillante.\n\n\u003cstrong\u003e\\[version originale\\]\u003c/strong\u003e\n\nDans son bulletin d\u0027actualit\u00e9 du 15 mars 2021, le CERT-FR soulignait la\ngravit\u00e9 de plusieurs vuln\u00e9rabilit\u00e9s affectant les \u00e9quipements *BIG-IP*\nde *F5 Networks*, et notamment la CVE-2021-22986.\n\nLe 19 mars 2021, l\u0027\u00e9diteur indique que des attaques massives sont en\ncours, attaques \u00e9galement d\u00e9tect\u00e9es par des sources telles que \\[1\\].\n\nLa vuln\u00e9rabilit\u00e9 CVE-2021-22986 est une vuln\u00e9rabilit\u00e9 de type \u0027*SSRF*\u0027\n(*Server Side Request Forgery*) qui permet \u00e0 un attaquant non\nauthentifi\u00e9 ayant un acc\u00e8s \u00e0 l\u0027*API* *REST iControl* de provoquer une\nex\u00e9cution de code arbitraire \u00e0 distance.\n\nCette *API* permet l\u0027automatisation de certaines t\u00e2ches\nd\u0027administration. Elle est accessible depuis l\u0027interface\nd\u0027administration de l\u0027\u00e9quipement mais \u00e9galement depuis les adresses IP\nd\u00e9nomm\u00e9es *self-IPs* qui peuvent \u00eatre configur\u00e9es via le menu *Network /\nSelf-IPs* dans les diff\u00e9rents *VLANs* auxquels ces \u00e9quipements sont\nconnect\u00e9s.\n",
  "title": "[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans F5 BIG-IP",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.