Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Élévation de privilèges
Systèmes affectés
- F5 BIG-IP (tous modules) versions 17.0.0.x antérieures à 17.0.0.2
- F5 BIG-IP (tous modules) versions 16.1.x antérieures à 16.1.3.3
- F5 BIG-IP (tous modules) versions 15.1.x antérieures à 15.1.8.1
- F5 BIG-IP (tous modules) versions 14.1.x antérieures à 14.1.5.3
- BIG-IP APM Clients versions 7.2.x antérieures à 7.2.31
- BIG-IP SPK version 1.6.0
F5 indique ne pas avoir publié de correctif de sécurité pour la vulnérabilité CVE-2023-22374. Toutefois des mesures de contournement ainsi qu'un correctif temporaire sont disponibles. Cette vulnérabilité permet à un attaquant authentifié d'effectuer un déni de service et possiblement d'exécuter du code arbitraire à distance.
Des détails concernant cette vulnérabilité ont été publiés en source ouverte. Le CERT-FR anticipe donc que des preuves de concept seront rapidement disponibles publiquement, au moins en ce qui concerne le déni de service.
Résumé
De multiples vulnérabilités ont été découvertes dans F5 BIG-IP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité F5 K000130496 du 01 février 2023
https://my.f5.com/manage/s/article/K000130496 - Référence CVE CVE-2023-22374
https://www.cve.org/CVERecord?id=CVE-2023-22374 - Référence CVE CVE-2023-22358
https://www.cve.org/CVERecord?id=CVE-2023-22358 - Référence CVE CVE-2023-22842
https://www.cve.org/CVERecord?id=CVE-2023-22842 - Référence CVE CVE-2023-22323
https://www.cve.org/CVERecord?id=CVE-2023-22323 - Référence CVE CVE-2023-22281
https://www.cve.org/CVERecord?id=CVE-2023-22281 - Référence CVE CVE-2023-22341
https://www.cve.org/CVERecord?id=CVE-2023-22341 - Référence CVE CVE-2023-22664
https://www.cve.org/CVERecord?id=CVE-2023-22664 - Référence CVE CVE-2023-22340
https://www.cve.org/CVERecord?id=CVE-2023-22340 - Référence CVE CVE-2023-23552
https://www.cve.org/CVERecord?id=CVE-2023-23552 - Référence CVE CVE-2023-22839
https://www.cve.org/CVERecord?id=CVE-2023-22839 - Référence CVE CVE-2023-23555
https://www.cve.org/CVERecord?id=CVE-2023-23555 - Référence CVE CVE-2023-22657
https://www.cve.org/CVERecord?id=CVE-2023-22657 - Référence CVE CVE-2023-22422
https://www.cve.org/CVERecord?id=CVE-2023-22422 - Référence CVE CVE-2023-22283
https://www.cve.org/CVERecord?id=CVE-2023-22283 - Référence CVE CVE-2023-22418
https://www.cve.org/CVERecord?id=CVE-2023-22418 - Référence CVE CVE-2023-22302
https://www.cve.org/CVERecord?id=CVE-2023-22302 - Référence CVE CVE-2023-22326
https://www.cve.org/CVERecord?id=CVE-2023-22326