重大なリモート乗っ取りバグが 2 件公開されたことを受けて、ネットワーク管理者は F5 BIG-IP アプリケーション配信コントローラにパッチを適用するよう強く求められています。
問題となっている脆弱性(CVE-2020-5902およびCVE-2020-5903)は、「トラフィック管理ユーザーインターフェース」と呼ばれる設定ツールに存在します。この脆弱性を悪用されると、デバイスに対する完全な管理者権限が付与されます。
CVE-2020-5902の場合、この脆弱性により機器は任意のコード実行のリスクにさらされます。一方、CVE-2020-5903はJavaScriptベースのクロスサイトスクリプティングの脆弱性です。CVE-2020-5902のCVSSスコアは10点満点中10点と、深刻度は低いものの、CVE-2020-5903は7.5点と、依然として深刻なスコアとなっています。
「攻撃者はファイルを作成または削除し、サービスを無効化し、情報を傍受し、任意のシステムコマンドとJavaコードを実行し、システムを完全に侵害し、内部ネットワークなどのさらなる標的を追求することができます」と、脆弱性を発見してF5に報告したポジティブテクノロジーズのミハイル・クリュチニコフ氏は述べた。
7月4日の週末に急いでいるのはやめましょう。これが必要になるかもしれません。MicrosoftがWindows 10の「画像でわかる」落とし穴を修正
続きを読む
「今回の RCE は、ディレクトリ トラバーサルの悪用を可能にするものなど、複数のコンポーネントのセキュリティ上の欠陥によって発生します。」
これらの脆弱性は、脆弱なBIG-IP機器が一般的に大企業で重要なアプリケーション間のトラフィック処理に使用されているため、特に深刻です。攻撃が成功すれば、F5のユーザーベースを構成するフォーチュン500企業に壊滅的な被害をもたらす可能性があります。
管理者の皆様は、ファームウェアをできるだけ早く更新することをお勧めします。この脆弱性はBIG-IPバージョン11から15に存在し、今週リリースされた更新バージョンは15.1.0.4、14.1.2.6、13.1.3.4、12.1.5.2、11.6.5.2です。BIG-IQおよびTraffix SDC製品には脆弱性はありません。
アプリケーション配信機器は、その定義上、重要なアプリケーションサーバーとネットワーク上のユーザーの間に位置するため、バグ修正は少々面倒な作業となる可能性があり、パッチ適用はダウンタイムにつながる可能性があります。米国にお住まいの方は、来たる連休を利用してパッチ適用を検討してみてはいかがでしょうか。
理想的には、脆弱なトラフィック管理インターフェースはオープンなインターネットに公開されないはずです。しかし、このソフトウェアを実行しているデバイスは1万台以上がパブリックWebに公開されている可能性があると推定されています。Positive Technologiesは、その数は少なくとも8,000台と見積もっています。うわあ。®
