CVE-2022-1388
CLOSED
KEV
La vulnérabilité
[CVE-2022-1388](https://www.cve.org/CVERecord?id=2022-1388) affectant
les équipements BIG-IP de F5 Networks a été annoncée le 4 mai 2022. Elle
permet de contourner le mécanisme d’authentification et d’invoquer les
fonctions d’interprétation de commandes systèmes disponibles au travers
de l’interface de programmation *(API)* iControl. Il est en particulier
possible d’invoquer une invite de commande *(bash)* qui sera exécutée
avec les droits *root*, permettant donc de prendre le contrôle de
l’équipement.
L’API iControl REST permet l’automatisation de certaines tâches
d’administration. Elle est accessible depuis l’interface
d’administration de l’équipement mais également depuis les adresses IP
dénommées *self-IP* qui peuvent être configurées *via* le menu *Network*
/ *Self-IPs* dans les différents VLANs auxquels ces équipements sont
connectés.
Le CERT-FR recommande de ne pas exposer les interfaces et API
d'administration sur Internet.
Cette vulnérabilité a déjà été mentionnée dans le bulletin d’actualité
hebdomadaire du 09 mai 2022. Toutefois, les analyses techniques publiées
récemment confirment la facilité d’exploitation de cette vulnérabilité
et des codes d’exploitation sont désormais disponibles. Par ailleurs,
certaines versions affectées ne disposent pas de correctif et les
possibilités d’une exploitation par l’intermédiaire d’un réseau interne
ne peuvent pas être exclues.
EPSS 94.46% · 100.0th percentile
