Sélection de la langue

Government of Canada / Gouvernement du Canada

Alerte - Vulnérabilités touchant les produits BIG-IP et BIG-IQ de F5 - Mise à jour 1

Numéro: AL21-004 – MISE À JOUR 1
Date: 19 mars 2021

AUDITOIRE

La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

OBJET

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection DétectionSurveillance et analyse des événements d'un système en vue de relever les tentatives d’accès non autorisées aux ressources du système. et d’atténuation. Au reste, le Centre canadien pour la cybersécurité CybersécuritéProtection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité. (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

MISE À JOUR: En date du 19 mars 2021, le Centre pour la cybersécurité a constaté des tentatives de balayage et d’exploitation contre l’interface iControl REST de produits F5 BIG-IP au Canada. Une exploitation réussie pourrait causer des divulgations d’informations ou l’exécution de code à distance, ce qui pourrait mener à une compromission complète du système.

RÉSUMÉ

Le 10 mars 2021, F5 a divulgué des détails relatifs aux vulnérabilités critiques touchant les produits BIG-IP, BIG-IP Advanced WAF/ASM et BIG-IQ. Ni la société F5, ni le Centre pour la cybersécurité ne sont au courant d’une exploitation active de ces vulnérabilités. Toutefois, en raison de la criticité de ces dernières, il est recommandé d’appliquer les correctifs et les mesures d’atténuation immédiatement.

DÉTAILS

Le 10 mars 2021, la société F5 a publié le bulletin de sécurité K02566623 dans lequel elle faisait état de plusieurs vulnérabilités dans ses produits BIG-IP (tous les modules), BIG-IP Advanced WAF/ASM et BIG-IQ. [1] Quatre des vulnérabilités divulguées sont critiques. Il convient de noter les vulnérabilités CVE-2021-22986 et CVE-2021-22987 (CVSS 9.8 et CVSS 9.9, respectivement), qui se trouvent dans le plan de contrôle pour l’interface InterfaceFrontière où transitent les communications entre deux systèmes. Il peut s’agir d’un connecteur matériel utilisé pour la connexion à d’autres dispositifs ou d’une convention permettant d’établir des communications entre deux systèmes logiciels. iControl REST et l’interface utilisateur de gestion du trafic (TMUI pour Traffic Management User Interface).

La vulnérabilité VulnérabilitéDéfectuosité ou lacune inhérente à la conception ou à la mise en œuvre d’un système d’information ou à son environnement, qui pourrait être exploitée en vue de compromettre les biens ou les activités d’une organisation. CVE-2021-22986 permettrait à des auteurs de menace non authentifiés disposant d’un accès réseau à l’interface iControl REST d’exécuter des commandes système arbitraires, de créer ou de supprimer des fichiers et de désactiver des services. Le système BIG-IP est lui aussi vulnérable en mode appliance.

Dans le cas des systèmes en mode appliance, la vulnérabilité CVE-2021-22987 permettrait aux utilisateurs authentifiés disposant d’un accès réseau à l’interface TMUI ou à l’utilitaire de configuration d’exécuter des commandes système arbitraires, de créer ou de supprimer des fichiers et de désactiver des services. En exploitant cette vulnérabilité, l’auteur malveillant pourrait sortir du mode appliance.

Ces deux vulnérabilités peuvent être exploitées uniquement à partir du plan de contrôle, et leur exploitation pourrait mener à la compromission CompromissionDivulgation intentionnelle ou non intentionnelle d’information mettant en péril la confidentialité, l'intégrité ou la disponibilité de ladite information. complète du système.

Les deux autres vulnérabilités critiques (CVE-2021-22991 et CVE-2021-22992) divulguées par F5 sont liées au dépassement de la mémoire tampon et touchent les produits BIG-IP et BIG-IP (Advanced WAF et ASM). Ces vulnérabilités peuvent être exploitées uniquement à partir du plan de données. L’exploitation de ces vulnérabilités pourrait mener à un déni de service ou, en théorie, à l’exécution de code à distance.

F5 recommande d’appliquer les correctifs à tous les systèmes qui exécutent les versions vulnérables, y compris les systèmes déployés dans des environnements virtuels.

MESURES RECOMMANDÉES

Le Centre pour la cybersécurité recommande aux organisations de vérifier toutes les appliances F5 touchées et les déploiements virtuels, puis de les mettre à niveau à l’une des versions recommandées ci-dessous. [1]
BIG-IP :

  • Les versions 16.0.0 à 16.0.1 devraient être mises à niveau à la version 16.0.1.1.
  • Les versions 15.1.0 à 15.1.2 devraient être mises à niveau à la version 15.1.2.1.
  • Les versions 14.1.0 à 14.1.3.1 devraient être mises à niveau à la version 14.1.4.
  • Les versions 13.1.0 à 13.1.3.5 devraient être mises à niveau à la version 13.1.3.6.
  • Les versions 12.1.0 à 12.1.5.2 devraient être mises à niveau à la version 12.1.5.3.
  • Les versions 11.6.1 à 11.6.5.2 devraient être mises à niveau à la version 11.6.5.3.

BIG-IQ :

  • La version 8.0.0 n’est pas touchée.
  • Les versions 7.1.0 à 7.1.0.2 devraient être mises à niveau à la version 8.0.0.
  • Les versions 7.0.0 à 7.0.0.1 devraient être mises à niveau à la version 7.1.0.3.
  • Les versions 6.0.0 à 6.1.0 devraient être mises à niveau à la version 7.0.0.2.

F5 a indiqué que si aucune version corrigée n’a été précisée pour une organisation, c’est qu’aucune mise à jour n’est disponible. La société recommande que les organisations mettent leurs systèmes à niveau à l’une des versions corrigées disponibles. Les organisations peuvent utiliser la matrice des plateformes F5 pour déterminer les versions logicielles compatibles avec leur plateforme F5. [1]

Bien que le Centre pour la cybersécurité encourage fortement l’application des mises à jour correctives, les administrateurs devraient envisager d’appliquer les mesures d’atténuation décrites dans les articles KB de F5, s’il n’est pas possible d’appliquer les mises à jour correctives immédiatement. Voir les remarques [4] et [5] pour obtenir les détails. En somme :

  • Bloquer l’accès iControl REST par l’intermédiaire de l’adresse Self IP.
  • Bloquer l’accès iControl REST par l’intermédiaire de l’interface de gestion.
  • Bloquer l’accès à l’utilitaire de configuration par l’intermédiaire de l’adresse Self IP.
  • Bloquer l’accès à l’utilitaire de configuration par l’intermédiaire de l’interface de gestion.

Les mises à jour correctives décrites dans cette section corrigeront aussi les vulnérabilités liées au dépassement de la mémoire tampon décrites dans la section précédente. Aucune autre mesure d’atténuation relative à CVE-2021-22991 autre que la mise à jour corrective ne s’applique, alors que pour CVE-2021-22992, F5 a fourni une mesure d’atténuation iRule. [9] Dans tous les cas, le Centre pour la cybersécurité et F5 recommandent l’application des mises à jour correctives comme principale mesure d’atténuation.

INDICATEURS DE COMPROMISSION

MISE À JOUR : Le 18 mars, des chercheurs de sécurité du NCCGroup ont publié un rapport [10] dans lequel étaient identifiées les activités réseau concernant les tentatives d’exploitation de CVE-2021-22986. NCCGroup a publié ultérieurement des indicateurs de compromissions afin d’aider à la détection des activités malveillantes connexes.

MISE À JOUR : Si les correctifs de sécurité n’ont pas été appliqués, le Centre pour la cybersécurité recommande d’examiner les journaux d’activités iControl REST pour voir si on y trouve des activités suspectes. Le Centre pour la cybersécurité est au courant de signatures de source ouverte [11][12] que les administrateurs pourraient trouver utiles dans la détection d’activités réseau malveillantes liées à CVE-2021-22986.

Remarque : Le Centre pour la cybersécurité fait référence à ces signatures uniquement à des fins de connaissance de la situation et ne fait aucune déclaration quant à leur efficacité. Comme ces canaux de communication peuvent être chiffrés, le Centre pour la cybersécurité encourage une analyse approfondie du système de fichiers, des journaux et du trafic réseau pour tout système potentiellement vulnerable.

On invite les destinataires à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788) s’ils relèvent des activités similaires à ce qui est présenté dans la présente alerte.

RÉFÉRENCES

[1] K02566623 : Overview of F5 critical vulnerabilities (March 2021) (en anglais seulement)
https://support.f5.com/csp/article/K02566623

[2] K9502 : BIG-IP hotfix and point release matrix (en anglais seulement)
https://support.f5.com/csp/article/K9502

[3] K15113 : BIG-IQ hotfix and point release matrix (en anglais seulement)
https://support.f5.com/csp/article/K15113

[4] K13123 : BIG-IP product hotfixes (11.x-16.x) (en anglais seulement)
https://support.f5.com/csp/article/K13123

[5] K15106 : Managing BIG-IQ product hotfixes (en anglais seulement)
https://support.f5.com/csp/article/K15106

[6] K18132488 : Appliance mode TMUI authenticated remote command execution vulnerability CVE-2021-22987 (en anglais seulement)
https://support.f5.com/csp/article/K18132488

[7] K03009991 : iControl REST unauthenticated remote command execution vulnerability CVE-2021-22986 (en anglais seulement)
https://support.f5.com/csp/article/K03009991

[8] K56715231 : TMM buffer-overflow vulnerability CVE-2021-22991 (en anglais seulement)
https://support.f5.com/csp/article/K56715231

[9] K52510511 : Advanced WAF/ASM buffer-overflow vulnerability CVE-2021-22992 (en anglais seulement)
https://support.f5.com/csp/article/K52510511

[10] NCC Group RIFT detection capabilities for CVE-2021-22986 (en anglais seulement)
https://research.nccgroup.com/2021/03/18/rift-detection-capabilities-for-recent-f5-big-ip-big-iq-icontrol-rest-api-vulnerabilities-cve-2021-22986/

[11] NCC Group CVE-2021-22896 Suricata signatures (en anglais seulement)
https://github.com/nccgroup/Cyber-Defence/blob/master/Signatures/suricata/2021_03_cve_2021_22986.txt

[12] Proofpoint Emerging Threats Suricata rules (en anglais seulement)
https://rules.emergingthreats.net/open/suricata-5.0/emerging-all.rules

NOTE AUX LECTEURS

Le Centre pour la cybersécurité mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident IncidentIncident réel au cours duquel un agent de menace exploite une vulnérabilité d’un bien de TI de valeur. lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert et coordonne les communications d’information et l’intervention en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.

Date de modification :