F5 a publié des correctifs pour 25 vulnérabilités affectant ses produits BIG-IP, BIG-IQ et NGINX, 23 failles ont été corrigées dans le contrôleur de livraison d'applications (ADC) BIG-IP, dont 13 problèmes de haute gravité, qui ont tous un score CVSS de 7,5.

La majorité des bugs de haute gravité peuvent entraîner l'arrêt du micro-noyau de gestion du trafic (TMM). Quelques autres peuvent entraîner une augmentation de l'utilisation des ressources mémoire, un blocage du serveur virtuel ou l'exécution de code JavaScript.

Les problèmes de sécurité ont été identifiés dans plusieurs versions de BIG-IP, allant de 11.x à 16.x. Des correctifs ont été inclus dans les versions 14.x, 15.x et 16.x.

F5 a également annoncé des correctifs pour deux failles de haute gravité, dans la gestion centralisée de BIG-IQ (CVE-2022-23009 - score CVSS de 8.0) et la gestion de l'API du contrôleur NGINX (CVE-2022-23008 - score CVSS de 8.7).

Ces vulnérabilités peuvent être exploitées pour accéder à d'autres dispositifs BIG-IP gérés par le même système BIG-IQ et pour injecter du code JavaScript, respectivement.

Les autres vulnérabilités de gravité moyenne corrigées affectent toutes BIG-IP, mais l'une d'entre elles, référencée CVE-2022-23023, qui entraîne une utilisation accrue des ressources mémoire a également un impact sur BIG-IQ.

Les failles peuvent conduire à l'arrêt de TMM, à l'augmentation de l'utilisation des ressources, au gel des serveurs virtuels, à l'échec de certains types de connexions TCP ou à la fuite de fichiers locaux.

De plus, F5 a corrigé une vulnérabilité de faible gravité menant à une attaque de rebinding DNS.

L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) encourage les administrateurs à consulter l'avis de F5 et à installer les mises à jour logicielles disponibles dès que possible.