certfr_alerte - certfr-2022-ale-004

CERTFR-2022-ALE-004

Vulnerability from certfr_alerte

La vulnérabilité CVE-2022-1388 affectant les équipements BIG-IP de F5 Networks a été annoncée le 4 mai 2022. Elle permet de contourner le mécanisme d’authentification et d’invoquer les fonctions d’interprétation de commandes systèmes disponibles au travers de l’interface de programmation (API) iControl. Il est en particulier possible d’invoquer une invite de commande (bash) qui sera exécutée avec les droits root, permettant donc de prendre le contrôle de l’équipement.

L’API iControl REST permet l’automatisation de certaines tâches d’administration. Elle est accessible depuis l’interface d’administration de l’équipement mais également depuis les adresses IP dénommées self-IP qui peuvent être configurées via le menu Network / Self-IPs dans les différents VLANs auxquels ces équipements sont connectés.

Le CERT-FR recommande de ne pas exposer les interfaces et API d'administration sur Internet.

Cette vulnérabilité a déjà été mentionnée dans le bulletin d’actualité hebdomadaire du 09 mai 2022. Toutefois, les analyses techniques publiées récemment confirment la facilité d’exploitation de cette vulnérabilité et des codes d’exploitation sont désormais disponibles. Par ailleurs, certaines versions affectées ne disposent pas de correctif et les possibilités d’une exploitation par l’intermédiaire d’un réseau interne ne peuvent pas être exclues.

Contournement provisoire

S’il n’est pas possible de procéder à l’installation d’une version de BIG-IP corrigeant la vulnérabilité, se référer aux mesures de contournement proposées par l’éditeur [3] à la section Mitigation.

Solution

Le CERT-FR recommande fortement d’appliquer les correctifs fournis par l’éditeur, se référer à l’avis émis par le CERT-FR [1] [2] pour plus d’information.

Pour les versions 11.x et 12.x de BIG-IP, il est nécessaire d’effectuer une montée de version afin de corriger la vulnérabilité.
Se référer à l’article K5903 [4] pour identifier les versions de BIG-IP supportées par F5.

De manière générale, il faut a minima prendre les mesures nécessaires pour que l’interface de gestion d’un équipement ne soit accessible que depuis un réseau sécurisé. Le CERT-FR rappelle également que l'éditeur a publié des bonnes pratiques afin de sécuriser l'administration de ses équipements [5]. Il convient notamment de :

Connecter le port d'administration sur un réseau d'administration sécurisé ;
Interdire l'accès aux interfaces d’administration (notamment mui et iControl) via les adresses IP Self-IP ;

Rappels :

Le guide d’hygiène informatique : https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf
Recommandations relatives à l’administration sécurisée des systèmes d’information : https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/
Recommandations sur le nomadisme numérique : https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/

Liens :

Les versions suivantes de F5 sont également vulnérables mais ne sont plus maintenues par l’éditeur :

F5 BIG-IP des versions 12.1.0 aux versions 12.1.6
F5 BIG-IP des versions 11.6.1 aux versions 11.6.5

Impacted products

Vendor	Product	Description
F5	BIG-IP	F5 BIG-IP versions 15.x antérieures à 15.1.5.1
F5	BIG-IP	F5 BIG-IP versions 14.x antérieures à 14.1.4.6
F5	BIG-IP	F5 BIG-IP versions 16.x antérieures à 16.1.2.2
F5	BIG-IP	F5 BIG-IP versions 13.x antérieures à 13.1.5

References

Title

Publication Time

Tags

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "F5 BIG-IP versions 15.x ant\u00e9rieures \u00e0 15.1.5.1",
      "product": {
        "name": "BIG-IP",
        "vendor": {
          "name": "F5",
          "scada": false
        }
      }
    },
    {
      "description": "F5 BIG-IP versions 14.x ant\u00e9rieures \u00e0 14.1.4.6",
      "product": {
        "name": "BIG-IP",
        "vendor": {
          "name": "F5",
          "scada": false
        }
      }
    },
    {
      "description": "F5 BIG-IP versions 16.x ant\u00e9rieures \u00e0 16.1.2.2",
      "product": {
        "name": "BIG-IP",
        "vendor": {
          "name": "F5",
          "scada": false
        }
      }
    },
    {
      "description": "F5 BIG-IP versions 13.x ant\u00e9rieures \u00e0 13.1.5",
      "product": {
        "name": "BIG-IP",
        "vendor": {
          "name": "F5",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "\u003cp\u003eLes versions suivantes de F5 sont \u00e9galement vuln\u00e9rables mais ne sont plus maintenues par l\u2019\u00e9diteur :\u003c/p\u003e \u003cul\u003e \u003cli\u003eF5 BIG-IP des versions 12.1.0 aux versions 12.1.6\u003c/li\u003e \u003cli\u003eF5 BIG-IP des versions 11.6.1 aux versions 11.6.5\u003c/li\u003e \u003c/ul\u003e ",
  "closed_at": "2022-09-16",
  "content": "## Contournement provisoire\n\nS\u2019il n\u2019est pas possible de proc\u00e9der \u00e0 l\u2019installation d\u2019une version de\nBIG-IP corrigeant la vuln\u00e9rabilit\u00e9, se r\u00e9f\u00e9rer aux mesures de\ncontournement propos\u00e9es par\nl\u2019\u00e9diteur\u00a0[\\[3\\]](https://support.f5.com/csp/article/K23605346) \u00e0 la\nsection *Mitigation*.\n\n## Solution\n\nLe CERT-FR recommande fortement d\u2019appliquer les correctifs fournis par\nl\u2019\u00e9diteur, se r\u00e9f\u00e9rer \u00e0 l\u2019avis \u00e9mis par le CERT-FR\n[\\[1\\]](https://cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-019/)\n[\\[2\\]](/avis/CERTFR-2022-AVI-419/) pour\nplus d\u2019information.\n\nPour les versions 11.x et 12.x de BIG-IP, il est n\u00e9cessaire d\u2019effectuer\nune mont\u00e9e de version afin de corriger la vuln\u00e9rabilit\u00e9.  \nSe r\u00e9f\u00e9rer \u00e0 l\u2019article K5903\n[\\[4\\]](https://support.f5.com/csp/article/K5903) pour identifier les\nversions de BIG-IP support\u00e9es par F5.\n\nDe mani\u00e8re g\u00e9n\u00e9rale, il faut *a minima*\u00a0prendre les mesures n\u00e9cessaires\npour que l\u2019interface de gestion d\u2019un \u00e9quipement ne soit accessible que\ndepuis un r\u00e9seau s\u00e9curis\u00e9. Le CERT-FR rappelle \u00e9galement que l\u0027\u00e9diteur a\npubli\u00e9 des bonnes pratiques afin de s\u00e9curiser l\u0027administration de ses\n\u00e9quipements [\\[5\\]](https://support.f5.com/csp/article/K13092). Il\nconvient notamment de :\n\n-   Connecter le port d\u0027administration sur un r\u00e9seau d\u0027administration\n    s\u00e9curis\u00e9 ;\n-   Interdire l\u0027acc\u00e8s aux interfaces d\u2019administration (notamment mui et\n    iControl) *via* les adresses IP *Self-IP* ;\n\nRappels :\n\n-   Le guide d\u2019hygi\u00e8ne informatique\n    :\u00a0\u003chttps://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf\u003e\n-   Recommandations relatives \u00e0 l\u2019administration s\u00e9curis\u00e9e des syst\u00e8mes\n    d\u2019information\n    :\u00a0\u003chttps://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/\u003e\n-   Recommandations sur le nomadisme num\u00e9rique\n    :\u00a0\u003chttps://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/\u003e\n\nLiens\u00a0:\n\n-   \\[1\\] [Bulletin d\u2019actualit\u00e9\n    CERTFR-2022-ACT-019](https://cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-019/)\n-   \\[2\\] [Avis CERTFR-2022-AVI-419 - Multiples vuln\u00e9rabilit\u00e9s dans les\n    produits F5](/avis/CERTFR-2022-AVI-419/)\n-   \\[3\\] [BIG-IP iControl REST vulnerability\n    CVE-2022-1388](https://support.f5.com/csp/article/K23605346)\n-   \\[4\\] [BIG-IP software support\n    policy](https://support.f5.com/csp/article/K5903)\n-   \\[5\\] [Overview of securing access to the BIG-IP\n    system](https://support.f5.com/csp/article/K13092)\n\n",
  "cves": [
    {
      "name": "CVE-2022-1388",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-1388"
    }
  ],
  "initial_release_date": "2022-05-11T00:00:00",
  "last_revision_date": "2022-09-16T00:00:00",
  "links": [],
  "reference": "CERTFR-2022-ALE-004",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2022-05-11T00:00:00.000000"
    },
    {
      "description": "Cloture de l\u0027alerte",
      "revision_date": "2022-09-16T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
    },
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "La vuln\u00e9rabilit\u00e9\n[CVE-2022-1388](https://www.cve.org/CVERecord?id=2022-1388) affectant\nles \u00e9quipements BIG-IP de F5 Networks a \u00e9t\u00e9 annonc\u00e9e le 4 mai 2022. Elle\npermet de contourner le m\u00e9canisme d\u2019authentification et d\u2019invoquer les\nfonctions d\u2019interpr\u00e9tation de commandes syst\u00e8mes disponibles au travers\nde l\u2019interface de programmation *(API)* iControl. Il est en particulier\npossible d\u2019invoquer une invite de commande *(bash)* qui sera ex\u00e9cut\u00e9e\navec les droits *root*, permettant donc de prendre le contr\u00f4le de\nl\u2019\u00e9quipement.\n\nL\u2019API iControl REST permet l\u2019automatisation de certaines t\u00e2ches\nd\u2019administration. Elle est accessible depuis l\u2019interface\nd\u2019administration de l\u2019\u00e9quipement mais \u00e9galement depuis les adresses IP\nd\u00e9nomm\u00e9es *self-IP* qui peuvent \u00eatre configur\u00e9es *via* le menu *Network*\n/ *Self-IPs* dans les diff\u00e9rents VLANs auxquels ces \u00e9quipements sont\nconnect\u00e9s.\n\nLe CERT-FR recommande de ne pas exposer les interfaces et API\nd\u0027administration sur Internet.\n\nCette vuln\u00e9rabilit\u00e9 a d\u00e9j\u00e0 \u00e9t\u00e9 mentionn\u00e9e dans le bulletin d\u2019actualit\u00e9\nhebdomadaire du 09 mai 2022. Toutefois, les analyses techniques publi\u00e9es\nr\u00e9cemment confirment la facilit\u00e9 d\u2019exploitation de cette vuln\u00e9rabilit\u00e9\net des codes d\u2019exploitation sont d\u00e9sormais disponibles. Par ailleurs,\ncertaines versions affect\u00e9es ne disposent pas de correctif et les\npossibilit\u00e9s d\u2019une exploitation par l\u2019interm\u00e9diaire d\u2019un r\u00e9seau interne\nne peuvent pas \u00eatre exclues.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans F5 BIG-IP",
  "vendor_advisories": []
}

CVE-2022-1388 (GCVE-0-2022-1388)

Vulnerability from cvelistv5

Published

2022-05-05 16:18

Modified

2025-10-21 23:15

Severity ?

9.8 (Critical) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE

CWE-306 - Missing Authentication for Critical Function

Summary

On F5 BIG-IP 16.1.x versions prior to 16.1.2.2, 15.1.x versions prior to 15.1.5.1, 14.1.x versions prior to 14.1.4.6, 13.1.x versions prior to 13.1.5, and all 12.1.x and 11.6.x versions, undisclosed requests may bypass iControl REST authentication. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated

References

URL

Tags

	https://support.f5.com/csp/article/K23605346
	http://packetstormsecurity.com/files/167007/F5-BIG-IP-Remote-Code-Execution.html
	http://packetstormsecurity.com/files/167118/F5-BIG-IP-16.0.x-Remote-Code-Execution.html
	http://packetstormsecurity.com/files/167150/F5-BIG-IP-iControl-Remote-Code-Execution.html
	https://www.secpod.com/blog/critical-f5-big-ip-remote-code-execution-vulnerability-patch-now/

Impacted products

	Vendor	Product	Version
	F5	BIG-IP	Patch: 17.0.0 < 17.0.x* Version: 16.1.x < 16.1.2.2 Version: 15.1.x < 15.1.5.1 Version: 14.1.x < 14.1.4.6 Version: 13.1.x < 13.1.5 Version: 12.1.x < Version: 11.6.x <

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "providerMetadata": {
          "dateUpdated": "2024-08-03T00:03:06.011Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://support.f5.com/csp/article/K23605346"
          },
          {
            "tags": [
              "x_transferred"
            ],
            "url": "http://packetstormsecurity.com/files/167007/F5-BIG-IP-Remote-Code-Execution.html"
          },
          {
            "tags": [
              "x_transferred"
            ],
            "url": "http://packetstormsecurity.com/files/167118/F5-BIG-IP-16.0.x-Remote-Code-Execution.html"
          },
          {
            "tags": [
              "x_transferred"
            ],
            "url": "http://packetstormsecurity.com/files/167150/F5-BIG-IP-iControl-Remote-Code-Execution.html"
          },
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://www.secpod.com/blog/critical-f5-big-ip-remote-code-execution-vulnerability-patch-now/"
          }
        ],
        "title": "CVE Program Container"
      },
      {
        "metrics": [
          {
            "other": {
              "content": {
                "id": "CVE-2022-1388",
                "options": [
                  {
                    "Exploitation": "active"
                  },
                  {
                    "Automatable": "yes"
                  },
                  {
                    "Technical Impact": "total"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2025-01-29T20:27:21.338441Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          },
          {
            "other": {
              "content": {
                "dateAdded": "2022-05-10",
                "reference": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-1388"
              },
              "type": "kev"
            }
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2025-10-21T23:15:40.370Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "references": [
          {
            "tags": [
              "government-resource"
            ],
            "url": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-1388"
          }
        ],
        "timeline": [
          {
            "lang": "en",
            "time": "2022-05-10T00:00:00+00:00",
            "value": "CVE-2022-1388 added to CISA KEV"
          }
        ],
        "title": "CISA ADP Vulnrichment"
      }
    ],
    "cna": {
      "affected": [
        {
          "product": "BIG-IP",
          "vendor": "F5",
          "versions": [
            {
              "lessThan": "17.0.x*",
              "status": "unaffected",
              "version": "17.0.0",
              "versionType": "custom"
            },
            {
              "lessThan": "16.1.2.2",
              "status": "affected",
              "version": "16.1.x",
              "versionType": "custom"
            },
            {
              "lessThan": "15.1.5.1",
              "status": "affected",
              "version": "15.1.x",
              "versionType": "custom"
            },
            {
              "lessThan": "14.1.4.6",
              "status": "affected",
              "version": "14.1.x",
              "versionType": "custom"
            },
            {
              "lessThan": "13.1.5",
              "status": "affected",
              "version": "13.1.x",
              "versionType": "custom"
            },
            {
              "lessThanOrEqual": "12.1.6",
              "status": "affected",
              "version": "12.1.x",
              "versionType": "custom"
            },
            {
              "lessThanOrEqual": "11.6.5",
              "status": "affected",
              "version": "11.6.x",
              "versionType": "custom"
            }
          ]
        }
      ],
      "datePublic": "2022-05-04T00:00:00.000Z",
      "descriptions": [
        {
          "lang": "en",
          "value": "On F5 BIG-IP 16.1.x versions prior to 16.1.2.2, 15.1.x versions prior to 15.1.5.1, 14.1.x versions prior to 14.1.4.6, 13.1.x versions prior to 13.1.5, and all 12.1.x and 11.6.x versions, undisclosed requests may bypass iControl REST authentication. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated"
        }
      ],
      "metrics": [
        {
          "cvssV3_1": {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "HIGH",
            "baseScore": 9.8,
            "baseSeverity": "CRITICAL",
            "confidentialityImpact": "HIGH",
            "integrityImpact": "HIGH",
            "privilegesRequired": "NONE",
            "scope": "UNCHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H",
            "version": "3.1"
          }
        }
      ],
      "problemTypes": [
        {
          "descriptions": [
            {
              "cweId": "CWE-306",
              "description": "CWE-306 Missing Authentication for Critical Function",
              "lang": "en",
              "type": "CWE"
            }
          ]
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2023-10-18T00:25:05.758Z",
        "orgId": "9dacffd4-cb11-413f-8451-fbbfd4ddc0ab",
        "shortName": "f5"
      },
      "references": [
        {
          "url": "https://support.f5.com/csp/article/K23605346"
        },
        {
          "url": "http://packetstormsecurity.com/files/167007/F5-BIG-IP-Remote-Code-Execution.html"
        },
        {
          "url": "http://packetstormsecurity.com/files/167118/F5-BIG-IP-16.0.x-Remote-Code-Execution.html"
        },
        {
          "url": "http://packetstormsecurity.com/files/167150/F5-BIG-IP-iControl-Remote-Code-Execution.html"
        },
        {
          "url": "https://www.secpod.com/blog/critical-f5-big-ip-remote-code-execution-vulnerability-patch-now/"
        }
      ],
      "source": {
        "discovery": "INTERNAL"
      },
      "x_generator": {
        "engine": "Vulnogram 0.0.9"
      }
    }
  },
  "cveMetadata": {
    "assignerOrgId": "9dacffd4-cb11-413f-8451-fbbfd4ddc0ab",
    "assignerShortName": "f5",
    "cveId": "CVE-2022-1388",
    "datePublished": "2022-05-05T16:18:04.472Z",
    "dateReserved": "2022-04-19T00:00:00.000Z",
    "dateUpdated": "2025-10-21T23:15:40.370Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1"
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted

CERTFR-2022-ALE-004

Vulnerability from certfr_alerte

Contournement provisoire

Solution

CVE-2022-1388 (GCVE-0-2022-1388)

Vulnerability from cvelistv5

Tags

Sightings

Nomenclature