F5、2年ぶり最大規模の重大なパッチをリリース

3/11 Microsoft、SolarWinds、Accellionと並び、主要なパッチをリリースした企業に加わりました。なお、これらの脆弱性によりハッカーはコードをリモートで実行できます。

この欠陥は、F5 BIG-IPローカルトラフィックマネージャーとBIG-IQ集中管理ソフトウェアの両方に影響します。

https://support.f5.com/csp/article/K02566623

関連する7つの脆弱性は次のとおりです。

K03009991:iControlREST認証されていないリモートコマンド実行の脆弱性CVE-2021-22986
iControl RESTインターフェースには、認証されていないリモートコマンド実行の脆弱性があります。
CVSSスコア:9.8(クリティカル)

K18132488:アプライアンスモードTMUI認証済みリモートコマンド実行の脆弱性CVE-2021-22987
アプライアンスモードで実行している場合、構成ユーティリティとも呼ばれるトラフィック管理ユーザーインターフェイス(TMUI)には、非公開のページで認証されたリモートコマンド実行の脆弱性があります。
CVSSスコア:9.9(クリティカル)

K70031188:TMUI認証済みリモートコマンド実行の脆弱性CVE-2021-22988
構成ユーティリティとも呼ばれるTMUIには、非公開のページで認証されたリモートコマンド実行の脆弱性があります。
CVSSスコア:8.8(高)

K56142644:アプライアンスモードの高度なWAF / ASMTMUI認証済みリモートコマンド実行の脆弱性CVE-2021-22989
AdvancedWAFまたはBIG-IPASMがプロビジョニングされたアプライアンスモードで実行している場合、TMUIは、構成ユーティリティとも呼ばれ、非公開のページで認証されたリモートコマンド実行の脆弱性があります。
CVSSスコア:8.0(高)

K45056101:高度なWAF / ASMTMUI認証済みリモートコマンド実行の脆弱性CVE-2021-22990
AdvancedWAFまたはBIG-IPASMがプロビジョニングされたシステムでは、TMUI(構成ユーティリティとも呼ばれます)には、非公開のページで認証されたリモートコマンド実行の脆弱性があります。
CVSSスコア:6.6(中)

K56715231:TMMバッファオーバーフローの脆弱性CVE-2021-22991
仮想サーバーへの非公開の要求は、Traffic Management Microkernel(TMM)URI正規化によって誤って処理される可能性があります。これにより、バッファオーバーフローがトリガーされ、DoS攻撃が発生する可能性があります。特定の状況では、理論的には、URLベースのアクセス制御またはリモートコード実行(RCE)のバイパスが許可される場合があります。
CVSSスコア:9.0(クリティカル)

K52510511:高度なWAF / ASMバッファオーバーフローの脆弱性CVE-2021-22992
ポリシーにログインページが設定されているAdvancedWAF / BIG-IP ASM仮想サーバーへの悪意のあるHTTP応答は、バッファオーバーフローを引き起こし、DoS攻撃を引き起こす可能性があります。特定の状況では、リモートコード実行(RCE)が許可され、システムが完全に侵害される可能性があります。
CVSSスコア:9.0(クリティカル)

これらの脆弱性は深刻であるため、できるだけ早くアップデートすることをお勧めします。7つの脆弱性は次のBIG-IPバージョンで修正されています:16.0.1.1、15.1.2.1、14.1.4、13.1.3.6、12.1.5.3、および11.6.5.3。CVE-2021-22986はBIG-IQにも影響し、これは8.0.0、7.1.0.3、および7.0.0.2で修正されています。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ