F5 BIG-IPの重大脆弱性が公開されました。悪用も確認(CVE-2023-46747)
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。
Cognyte CTI Research Group@Cognyte | 2023年10月
F5 Networks, Inc.が、BIG-IP製品に影響する重大(Critical)脆弱性(CVE-2023-46747)に対するセキュリティアップデートを公開しました。
BIG-IPはロードバランサー機能を始めとして様々なトラフィック管理機能を提供する製品であり、多くの組織・企業に導入されています。
今回公開された脆弱性は、認証されていない攻撃者によるリモートコード実行を可能にするものです。
2023.11.1
米CISAの「悪用が確認されている脆弱性(KEV)」カタログに本記事で紹介した脆弱性CVE-2023-46747およびCVE-2023-46748が追加されました(外部リンク)。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
脆弱性詳細と該当バージョン
脆弱性CVE-2023-46747のCVSSは9.8 Critical です。
当該脆弱性を発見しベンダーに報告した研究者によれば、脆弱性CVE-2023-46747は認証バイパスの問題です。標的システム上でrootとして任意のコマンドを実行することにより、Webインターフェースである「トラフィック管理ユーザーインターフェース(TMUI)」が公開されたF5システムに対し侵害を引き起こすおそれがあります。
JPCERT/CCはこの脆弱性を攻撃された場合の影響について次のように記載しています(外部リンク)
本脆弱性が悪用された場合、遠隔の第三者が管理ポートやSelf-IPを介してBIG-IPシステムにアクセスし、任意のシステムコマンドを実行できる可能性があります。
TMUIは一般に内部公開し運用されるため、既にネットワークアクセスを取得した脅威アクターがこの脆弱性を悪用することが考えられます。
脆弱性に影響を受けるBIG-IPのバージョンは以下のとおりです。
- 17.x:17.1.0.
- 16.x:16.1.0 – 16.1.4.
- 15.x:15.1.0 – 15.1.10.
- 14.x:14.1.0 – 14.1.5.
- 13.x:13.1.0 – 13.1.5.
脆弱性に対応したホットフィックスはそれぞれF5 Networks, Inc.セキュリティ・アドバイザリーに記載されています。
まとめと今後の動向
該当するバージョンを利用するユーザーは、F5 Networks, Inc.が公開したアドバイザリーに従ってシステムをアップグレードすることを推奨します。
注目すべきことに、CVE-2020-5902(認証されていないリモートコード実行の脆弱性)など、過去に発見されたF5 BIG-IPスイートの脆弱性は、さまざまな脅威アクターの間で広まり、高度なサイバー攻撃を含む攻撃キャンペーンで積極的に悪用されてきました。
中国やイランが支援するAPTグループによるスパイ活動も過去にBIG-IPの脆弱性を利用しています。
今回公開されたBIG-IPの最新の脆弱性は、近い将来、ハッカーからの標的となる可能性があります。
SOMPO CYBER SECURITYでは、今回ご紹介したCognyteのように、脅威アクターの活動を収集・検知するサービスの他、インフォスティーラーやマルウェアの通信を直接収集し、組織が持つホストの感染やクレデンシャル漏洩を検知するKryptosLogicサービスも提供しています。
参考ソース
- https://my.f5.com/manage/s/article/K000137353
- https://thehackernews.com/2023/10/f5-issues-warning-big-ip-vulnerability.html
- https://www.praetorian.com/blog/refresh-compromising-f5-big-ip-with-request-smuggling-cve-2023-46747/
- https://www.bleepingcomputer.com/news/security/f5-fixes-big-ip-auth-bypass-allowing-remote-code-execution-attacks/
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-206a
- https://nvd.nist.gov/vuln/detail/CVE-2023-46747
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)