CERTFR-2021-ALE-006

<strong>\[mise à jour du 22 mars 2021\]</strong> Un nouveau vecteur d'attaque a été publié qui ne requiert plus d'exploiter une *SSRF* et de nouveaux codes d'attaques sont désormais disponibles. Toute requête *HTTP* de type *POST* reçue par l'*API REST iControl* serait par conséquent potentiellement malveillante. <strong>\[version originale\]</strong> Dans son bulletin d'actualité du 15 mars 2021, le CERT-FR soulignait la gravité de plusieurs vulnérabilités affectant les équipements *BIG-IP* de *F5 Networks*, et notamment la CVE-2021-22986. Le 19 mars 2021, l'éditeur indique que des attaques massives sont en cours, attaques également détectées par des sources telles que \[1\]. La vulnérabilité CVE-2021-22986 est une vulnérabilité de type '*SSRF*' (*Server Side Request Forgery*) qui permet à un attaquant non authentifié ayant un accès à l'*API* *REST iControl* de provoquer une exécution de code arbitraire à distance. Cette *API* permet l'automatisation de certaines tâches d'administration. Elle est accessible depuis l'interface d'administration de l'équipement mais également depuis les adresses IP dénommées *self-IPs* qui peuvent être configurées via le menu *Network / Self-IPs* dans les différents *VLANs* auxquels ces équipements sont connectés.