Découvrez notre société Contactez-nous

e-Xpert Solutions Genève

109, chemin du Pont-Du-Centenaire
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
En cochant cette case, vous acceptez notre politique de confidentialité disponible en cliquant ici
Envoyez votre message

Swiss Security Hackademy

Suivez notre blog bilingue en sécurité informatique !

Retour aux articles

Détecter les Virtual Servers F5 vulnérables à la CVE-2022-0778


Auteur : Gilliek

Date de publication : 25 mars 2022 - Dernière mise à jour : 25 mars 2022


La vulnérabilité CVE-2022-0778 de haute sévérité (CVSSv3 7.5) affectant OpenSSL impacte toutes les versions de BIG-IP. Celle-ci permet de causer un déni de service en fournissant, par exemple, à un Virtual Server (VS) un faux certificat avec de mauvais paramètres pour les courbes elliptiques. La vulnérabilité impacte donc tous les VS acceptant un certificat SSL client. En termes plus techniques, cela impacte tous les VS ayant un profil SSL avec l’option peer-cert-mode à require ou request.

Dans cet article, nous allons montrer comment gagner en visibilité sur cette vulnérabilité avec nos solutions “Analytics Tool for F5” et “Device Manager”.

Pour récupérer l’information, nous avons besoin d’exécuter 2 requêtes sur le F5. La première va récupérer la liste de tous les profils SSL. A partir de là, il suffit de ne garder que ceux qui sont vulnérables, ce que nous pouvons deviner grâce au champ peer-cert-mode. La seconde requête va, quant à elle, récupérer la liste de tous les virtual servers. Nous devons utiliser le paramètre “expandSubcollections=true” afin de récupérer la liste des profiles attachés à chaque virtual server. Cela nous évite d’exécuter une requête supplémentaire par virtual server et ainsi évite de charger inutilement le CPU du F5.

Une fois les 2 listes récupérées, il suffit de corréler les informations pour savoir exactement quels sont les virtual servers qui sont vulnérables.

Nous allons maintenant comment ces requêtes peuvent être implémentée dans chacune de nos solutions.

Analytics Tool for F5

Pour gérer tout ça, nous passons par un iscript. Le code est disponible sur notre dépôt Github:

github.com/e-XpertSolutions/insight-resources/use-cases/CVE-2022-0778

Cet iscript doit être créé comme objet de type “Mappings” afin qu’il puisse être déclenché dans une search query. Cela est nécessaire afin de pouvoir créer un dashboard permettant de visualiser tout ça de façon claire:

Détecter les Virtual Servers F5 vulnérables à la CVE-2022-0778

A noter que ce dashboard est live, c’est-à-dire que les informations affichées représentent l’état du F5 au moment où le tableau s’affiche dans le dashboard.

Device Manager

Avec le Device Manager, l’idée est la même: nous allons passer par un iscript. Le code est également disponible sur notre dépôt Github:

github.com/e-XpertSolutions/devmgr-resources/iscript/CVE-2022-0778

L’idée cette fois est de déclencher le script via une tâche. Le Device Manager, ne possédant pas de capacité de visualisation, il va nous falloir générer un fichier CSV dans le menu “Hosted Content” qui contiendra la liste des virtual servers vulnérables.

La tâche va simplement appeler notre script:

Détecter les Virtual Servers F5 vulnérables à la CVE-2022-0778

Nous avons rendu cette tâche dynamique afin qu’elle puisse être configurée au moment de l’exécution par l’utilisateur:

Détecter les Virtual Servers F5 vulnérables à la CVE-2022-0778

Le formulaire va permettre de sélectionner le F5 pour lequel analyser la vulnérabilité des VS, voir même plusieurs F5 en une fois en passant un tag.

Une fois la tâche exécutée, il est possible de consulter le rapport CSV généré depuis la vue “Hosted Content”:

Détecter les Virtual Servers F5 vulnérables à la CVE-2022-0778

Conclusion

Nous avons vu ici 2 approches pour gagner en visibilité sur les vulnérabilités CVE-2022-0778 au niveau F5 BIG-IP. La première, à travers notre solution “Analytics Tool for F5” permet d’avoir un dashboard très visuel afin de pouvoir rapidement identifier les VS vulnérables. La seconde, avec notre solution “Device Manager” qui permet d’exporter un CSV voir efficacement quels sont les VS vulnérables.

Pour plus d’information, n’hésitez pas à nous contacter.

Pensez aussi à consulter nos autres use-cases pour « Analytics Tool for F5 » et “Device Manager”