La société de services applicatifs BIG-IP F5 a publié un avis de sécurité pour corriger plus d'une douzaine de vulnérabilités de haute gravité dans plusieurs versions de ses dispositifs BIG-IP et BIG-IQ.

L'une des vulnérabilités les plus importantes, nommée CVE-2021-23031, avec un score de gravité critique peut conduire à une compromission complète du système. Ces problèmes font partie des mises à jour de sécurité de ce mois-ci, qui corrigent près de 30 vulnérabilités dans plusieurs dispositifs F5. Cette vulnérabilité est associée à deux notes de sévérité, 8.8 en mode normal et 9.9 pour les clients utilisant le mode Appliance.

L’avis de sécurité pour CVE-2021-23031 ne fournit pas beaucoup de détails sur la raison pour laquelle il y a deux niveaux de gravité, mais note qu'il y a un "nombre limité de clients" qui sont affectés par la variante critique de la faille à moins qu'ils n'installent la version mise à jour ou appliquent des mesures d'atténuation.

Hormis CVE-2021-23031, la douzaine de problèmes de sécurité de haute gravité traités par F5 ce mois-ci ont un score de risque compris entre 7,2 et 7,5. La moitié d'entre eux affectent tous les modules, cinq ont un impact sur le WAF avancé et l'ASM, et un affecte le module DNS. L'impact de ces failles varie de l'exécution de commandes à distance authentifiées à la falsification de requêtes et au cross-site scripting (XSS), à des autorisations insuffisantes et des dénis de service.

Pour les entreprises qui ne peuvent pas mettre à jour leurs appareils, F5 estime que la seule façon de se défendre contre une éventuelle exploitation est de limiter l'accès à l'utilitaire de configuration aux seuls utilisateurs de confiance.

L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié une notification concernant l'avis de sécurité de F5, encourageant les utilisateurs et les administrateurs à examiner les informations fournies par l'entreprise et à installer les mises à jour logicielles ou à appliquer les mesures d'atténuation nécessaires.