{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"BIG-IP versions 16.x ant\u00e9rieures \u00e0 16.0.1.1","product":{"name":"BIG-IP","vendor":{"name":"F5","scada":false}}},{"description":"BIG-IP versions 13.x ant\u00e9rieures \u00e0 13.1.3.6","product":{"name":"BIG-IP","vendor":{"name":"F5","scada":false}}},{"description":"BIG-IP versions 12.x ant\u00e9rieures \u00e0 12.1.5.3","product":{"name":"BIG-IP","vendor":{"name":"F5","scada":false}}},{"description":"BIG-IP versions 15.x ant\u00e9rieures \u00e0 15.1.2.1","product":{"name":"BIG-IP","vendor":{"name":"F5","scada":false}}},{"description":"BIG-IP versions 14.x ant\u00e9rieures \u00e0 14.1.4","product":{"name":"BIG-IP","vendor":{"name":"F5","scada":false}}}],"affected_systems_content":"","closed_at":"2021-04-15","content":"## Contournement provisoire\n\nSi la mise \u00e0 jour des \u00e9quipements ne peut pas \u00eatre r\u00e9alis\u00e9e dans les\nplus brefs d\u00e9lais, l'\u00e9diteur recommande fortement de restreindre l'acc\u00e8s\n\u00e0 l'*API REST iControl* depuis les *Self-IPs* et de n'autoriser que des\n\u00e9quipements de confiance. Se r\u00e9f\u00e9rer \u00e0 la section 'Mitigation' de l'avis\nde l'\u00e9diteur. Des informations compl\u00e9mentaires sont disponibles dans la\nFoire Aux Questions (FAQ) publi\u00e9e par l'\u00e9diteur \\[2\\].\n\n## Solution\n\nLe CERT-FR rappelle que cette vuln\u00e9rabilit\u00e9 fait partie d'un ensemble de\n21 vuln\u00e9rabilit\u00e9s corrig\u00e9es par l'\u00e9diteur le 09 mars 2021 dont 4\nvuln\u00e9rabilit\u00e9s critiques (se r\u00e9f\u00e9rer \u00e0 l'avis CERT-FR et au bulletin\nCERT-FR pour plus de d\u00e9tails). Le CERT-FR recommande donc fortement\nd'appliquer les mises \u00e0 jour sans d\u00e9lai.\n\nCependant, l'exploitation actuelle par des groupes d'attaquants de la\nvuln\u00e9rabilit\u00e9 CVE-2021-22986 peut n\u00e9cessiter d'appliquer le\ncontournement dans un premier temps.\n\nPar ailleurs, le CERT-FR recommande fortement :\n\n-   de proc\u00e9der \u00e0 l\u2019analyse des \u00e9quipements afin d\u2019identifier une\n    possible compromission en s'appuyant sur les indicateurs de\n    compromission d\u00e9crits dans \\[1\\] et en se r\u00e9f\u00e9rant aux conseils\n    g\u00e9n\u00e9raux de l'\u00e9diteur \\[3\\] ;\n-   en cas de compromission, de contr\u00f4ler le syst\u00e8me d\u2019information pour\n    d\u00e9tecter d\u2019\u00e9ventuelles lat\u00e9ralisations dans le syst\u00e8me\n    d'information.\n\n------------------------------------------------------------------------\n\nLa mise \u00e0 jour d'un produit ou d'un logiciel est une op\u00e9ration d\u00e9licate\nqui doit \u00eatre men\u00e9e avec prudence. Il est notamment recommand\u00e9\nd'effectuer des tests autant que possible. Des dispositions doivent\n\u00e9galement \u00eatre prises pour garantir la continuit\u00e9 de service en cas de\ndifficult\u00e9s lors de l'application des mises \u00e0 jour comme des correctifs\nou des changements de version.\n","cves":[{"name":"CVE-2021-22986","url":"https://www.cve.org/CVERecord?id=CVE-2021-22986"}],"links":[{"title":"[1]","url":"https://research.nccgroup.com/2021/03/18/rift-detection-capabilities-for-recent-f5-big-ip-big-iq-icontrol-rest-api-vulnerabilities-cve-2021-22986/"},{"title":"Avis de s\u00e9curit\u00e9 CERT-FR CERTFR-2021-AVI-189 du 11 mars 2021","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-189/"},{"title":"[2]","url":"https://support.f5.com/csp/article/K04532512"},{"title":"Bulletin de s\u00e9curit\u00e9 F5 K03009991 du 10 mars 2021","url":"https://support.f5.com/csp/article/K03009991"},{"title":"Bulletin d'actualit\u00e9 CERT-FR CERTFR-2021-ACT-010 du 15 mars 2021","url":"https://www.cert.ssi.gouv.fr/actualite/CERTFR-2021-ACT-010/"},{"title":"[3]","url":"https://support.f5.com/csp/article/K11438344"}],"reference":"CERTFR-2021-ALE-006","revisions":[{"description":"Version initiale","revision_date":"2021-03-22T00:00:00.000000"},{"description":"d\u00e9couverte d'une nouvelle m\u00e9thode d'attaque","revision_date":"2021-03-22T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2021-04-15T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"<strong>\\[mise \u00e0 jour du 22 mars 2021\\]</strong>\n\nUn nouveau vecteur d'attaque a \u00e9t\u00e9 publi\u00e9 qui ne requiert plus\nd'exploiter une *SSRF* et de nouveaux codes d'attaques sont d\u00e9sormais\ndisponibles. Toute requ\u00eate *HTTP* de type *POST* re\u00e7ue par l'*API REST\niControl* serait par cons\u00e9quent potentiellement malveillante.\n\n<strong>\\[version originale\\]</strong>\n\nDans son bulletin d'actualit\u00e9 du 15 mars 2021, le CERT-FR soulignait la\ngravit\u00e9 de plusieurs vuln\u00e9rabilit\u00e9s affectant les \u00e9quipements *BIG-IP*\nde *F5 Networks*, et notamment la CVE-2021-22986.\n\nLe 19 mars 2021, l'\u00e9diteur indique que des attaques massives sont en\ncours, attaques \u00e9galement d\u00e9tect\u00e9es par des sources telles que \\[1\\].\n\nLa vuln\u00e9rabilit\u00e9 CVE-2021-22986 est une vuln\u00e9rabilit\u00e9 de type '*SSRF*'\n(*Server Side Request Forgery*) qui permet \u00e0 un attaquant non\nauthentifi\u00e9 ayant un acc\u00e8s \u00e0 l'*API* *REST iControl* de provoquer une\nex\u00e9cution de code arbitraire \u00e0 distance.\n\nCette *API* permet l'automatisation de certaines t\u00e2ches\nd'administration. Elle est accessible depuis l'interface\nd'administration de l'\u00e9quipement mais \u00e9galement depuis les adresses IP\nd\u00e9nomm\u00e9es *self-IPs* qui peuvent \u00eatre configur\u00e9es via le menu *Network /\nSelf-IPs* dans les diff\u00e9rents *VLANs* auxquels ces \u00e9quipements sont\nconnect\u00e9s.\n","title":"[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans F5 BIG-IP","vendor_advisories":[]}