Une vulnérabilité de très haute gravité, permettant aux acteurs de la menace de prendre le contrôle total des terminaux cibles, est exploitée à l’état sauvage, selon les chercheurs.
La faille est identifiée comme CVE-2022-1388 et porte un indice de gravité de 9,8/10. Il se trouve dans BIG-IP, une suite à la fois matérielle et logicielle, qui peut servir d’équilibreur de charge et de pare-feu.
Ce sont les produits de la société de sécurité multi-cloud et de livraison d’applications, F5, et sont utilisés par 48 membres du groupe d’entreprises Fortune 50, avec environ 16 000 terminaux pouvant être découverts en ligne. Comme ces appareils sont utilisés pour gérer le trafic du serveur Web, ils peuvent souvent voir le contenu décrypté du trafic protégé par HTTPS, ce qui ajoute un niveau de menace supplémentaire.
Menace de ransomware
La faille en question concerne la façon dont les administrateurs confirment leur identité lorsqu’ils se connectent à iControl REST, une interface de programmation utilisée pour gérer les équipements BIG-IP. En d’autres termes, les utilisateurs peuvent se faire passer pour un administrateur, ce qui leur permet d’exécuter des commandes sur différents points de terminaison.
Les chercheurs avertissent les administrateurs de corriger leurs systèmes immédiatement, car des privilèges élevés signifient que les acteurs de la menace pourraient installer des logiciels malveillants ou des rançongiciels sur les appareils vulnérables.
La faille n’a été découverte que la semaine dernière, mais le correctif est déjà disponible pour toutes les versions du firmware, à commencer par la 13.1.0. Les administrateurs exécutant des versions plus anciennes (11.x et 12.x) doivent effectuer une mise à niveau vers une version plus récente, dès que possible, car ces versions ont atteint la fin de leur vie et ne sont pas prises en charge.
Pour les administrateurs qui ne sont pas en mesure de corriger leurs systèmes pour le moment, F5 a suggéré trois solutions de contournement, notamment le blocage de l’accès à iControl REST via l’adresse IP propre, le blocage de l’accès à iControl REST via l’interface de gestion ou la modification de la configuration httpd BIG-IP. Le guide de ces solutions de contournement peut être trouvé sur ces liens (1,2,3).
Néanmoins, compte tenu de la gravité de la vulnérabilité, les administrateurs sont encouragés à opter pour le correctif, plutôt que pour les solutions de contournement, dès que possible.
Via : ArsTechnica