セキュリティおよび自動化ベンダーの F5 は、Big-IP ネットワーク セキュリティおよびトラフィック グルーミング製品に、早急にパッチを適用する必要がある 7 件の脆弱性と、修正する価値のある 14 件の脆弱性が存在すると警告しました。
本日の日付の勧告には 7 つの CVE がリストされており、そのうち 4 つは「重大」と評価されています。
バグのほとんどはTMUI(ユーザーがF5製品を操作するために使用するトラフィック管理ユーザーインターフェース)に関係しており、これらの脆弱性を悪用されると、リモートコード実行、サービス拒否攻撃、あるいはデバイスの完全な乗っ取りが可能になり、場合によってはこれら3つすべてが発生する可能性があります。F5が製品の自動化のために提供するiControl REST APIにも問題があります。
まず、CVE-2021-22987は、10段階評価のCVSSで9.9の深刻度を誇り、「BIG-IP管理ポートまたは自己IPアドレスを介して設定ユーティリティへのネットワークアクセスを持つ認証済みユーザーが、任意のシステムコマンドを実行したり、ファイルを作成または削除したり、サービスを無効化したりできる」脆弱性です。管理者は、この脆弱性により「システムが完全に侵害され、アプライアンスモードから抜け出す」ことができると警告されています。ただし、この脆弱性はコントロールプレーン経由でのみ悪用可能であり、攻撃者は有効なログイン情報を持っている必要があります。つまり、悪意のある内部関係者や盗難された資格情報を使用する人物などが悪用される可能性があります。
CVE-2021-22986の評価はわずか9.8ですが、「認証されていない攻撃者が、BIG-IP管理インターフェースと自己IPアドレスを介してiControl RESTインターフェースへのネットワークアクセスを行い、任意のシステムコマンドを実行したり、ファイルを作成または削除したり、サービスを無効化したりすることが可能」です。システム全体の侵害も、結果として起こり得ます。この脆弱性は認証を必要とせず、コントロールプレーン経由でのみ悪用可能であるにもかかわらず、評価は「22987」よりも低い点に注意してください。これは、後者の脆弱性が悪用されるとセキュリティの範囲が変更されるためと思われます。
CVE-2021-22991 と CVE-2021-22992 のスコアはそれぞれわずか 9.0 です。
F5、Citrix、Pulse Secureの共通点とは?中国がこれらの脆弱性を悪用し、政府や企業をハッキングしている - 連邦政府
続きを読む
インストールが '22991' の脆弱性を抱えている場合、「仮想サーバーへの非公開リクエストがトラフィック管理マイクロカーネル(TMM)URI 正規化によって不適切に処理され、バッファオーバーフローを引き起こし、DoS 攻撃につながる可能性があります。」URL ベースのアクセス制御が破られたり、リモートコード実行(RCE)が許可されたりする可能性もあります。Google Project Zero の Felix Wilhelm が、より詳細な技術的情報をこちらで説明しています。
'22992の脆弱性もまた、潜在的に恐ろしいものです。F5は次のように述べています。「ポリシーでログインページが設定されているAdvanced WAF/ASM仮想サーバーへの悪意のあるHTTPレスポンスは、バッファオーバーフローを引き起こし、DoS攻撃につながる可能性があります。場合によっては、リモートコード実行(RCE)を許し、システム全体の侵害につながる可能性があります。」GoogleのWilhelm氏は、概念実証のエクスプロイトを公開しており、詳細はこちらをご覧ください。
読者の皆様、まだ危機は去っていません。次の脆弱性はCVSS評価が8.8と、依然として非常に深刻なものです。CVE-2021-22988は、BIG-IPのトラフィック管理ユーザーインターフェースに「未公開のページに認証されたリモートコマンド実行の脆弱性がある」ことを意味します。
CVE-2021-22989は、評価レベル8.0で脅威を抑制していますが、「高度な権限を持つ認証済みユーザーが…任意のシステムコマンドを実行したり、ファイルを作成または削除したり、サービスを無効化したり」することが可能です。システム全体の侵害やアプライアンスモードの突破が再び可能になります。
最も弱いのは、評価が 6.6 の CVE-2021-22990 です。
BIG-IPをバージョン16.0.1.1、15.1.2.1、14.1.4、13.1.3.6、12.1.5.3、11.6.5.3にアップグレードすると、修正が適用されます。CVE-2021-22986は、F5の別の製品であるBIG-IQに影響し、バージョン8.0.0、7.1.0.3、7.0.0.2にアップグレードすることで修正できます。
F5は、7つの脆弱性に関する警告の中で、上記とは無関係に影響を与える14件の脆弱性(CVE)の詳細を公開したことにも言及しています。それらの脆弱性はこちらに掲載されています。
欧州銀行監督機構、Microsoft Exchangeのハッキングを受けて電子メールサービスを復旧
続きを読む
7つの主要なバグは非常に深刻であるため、米国サイバースペース・インフラ庁(CISA)は「ユーザーと管理者はF5の勧告を確認し、できるだけ早く更新されたソフトウェアをインストールすることを推奨する」という勧告を発表しました。これはおそらく、過去に外国の犯罪者がF5の脆弱性を悪用して米国や大企業のネットワークに侵入したためでしょう。
CISA と FBI はまた、先週 Microsoft Exchange Server で発生した 1 年を台無しにしたバグの詳細を記載した共同サイバーセキュリティ勧告 [PDF] も公開しました。
報告書によると、Exchangeの脆弱性を悪用した攻撃が観測されたことは「中国のサイバー攻撃者による過去の標的型攻撃と一致している」という。
「不法に取得されたビジネス情報、先進技術、研究データは、多くの米国企業や機関の事業運営や研究開発に悪影響を及ぼす可能性がある」と文書は付け加えた。
同報告書は、「農業、バイオテクノロジー、航空宇宙、防衛、法律サービス、電力会社、製薬など、複数の産業分野の地方自治体、学術機関、非政府組織、企業体」がマイクロソフトのミスによって攻撃を受けたと指摘している。®
