F5 NetworksのBIG-IPに深刻な脆弱性、隠しアカウント作成の恐れ

F5 NetworksのBIG-IPに深刻な脆弱性、隠しアカウント作成の恐れ - innovaTopia - (イノベトピア)

F5 NetworksのBIG-IP Next Central Managerに新たに発見された脆弱性が、攻撃者にF5ブランドの資産を完全に制御し、隠しアカウントを作成する能力を与える可能性があることが明らかになった。BIG-IPは、アプリケーションの配信とセキュリティのためのF5の様々なソフトウェアおよびハードウェア製品を包括するもので、BIG-IP Nextは「運用の複雑さを減らし、パフォーマンスを向上させ、セキュリティを強化し、観測性を高める」ことを目的とした次世代ソフトウェアである。Central Managerは、組織がすべてのBIG-IP Nextインスタンスとサービスを管理できる中心的なハブである。

Eclypsiumの新しい報告書によると、Next Central Managerに影響を与える5つのバグが明らかにされた。そのうち2つはCVEに割り当てられ、ベンダーによって修正された。残りの3つはCVEに割り当てられておらず、攻撃者が管理者アカウントにアクセスし、操作することを可能にする。

CVEに割り当てられた最初のバグ、CVE-2024-21793は、Central ManagerがOpen Data Protocol (OData)の問い合わせを処理する方法に関連している。攻撃者はODataクエリフィルターパラメータに注入し、管理者アカウントのパスワードハッシュなどの機密データを漏洩させることができる。これは、デバイスの設定にLightweight Directory Access Protocol (LDAP)が有効になっている場合にのみ機能する。

二つ目のバグ、CVE-2024-26026は、SQLインジェクションの脆弱性であり、任意の設定に関係なく同様の機密データの漏洩を可能にする。

F5はこれらの脆弱性をそれぞれ「高」と評価し、CVSS 3.1スケールで7.5のスコアを割り当て、ソフトウェアバージョン20.2.0で修正した。顧客は直ちにこのバージョンへの更新が推奨される。

しかし、EclypsiumはCentral Managerにおけるさらに3つの問題を指摘し、攻撃者がさらに大きな被害を引き起こす可能性があると警告している。これらの問題にはCVEが割り当てられておらず、修正されていない。F5は、これらの問題を直接的に製品のセキュリティに影響を与えるものとして扱わず、CVEを発行していないと回答している。

中央管理プラットフォームは攻撃者にとって非常に有利であるため、管理インターフェースは隔離されたネットワーク上に置くべきであるとのアドバイスが提供されている。また、保護される個々のデバイスの可視性の限界に注意し、適切に対応する必要がある。

【ニュース解説】

F5 NetworksのBIG-IP Next Central Managerにおける新たに発見された脆弱性について、攻撃者がF5ブランドの資産を完全に制御し、隠しアカウントを作成する可能性があることが報告されました。BIG-IPは、アプリケーションの配信とセキュリティを提供するF5の製品群を指し、BIG-IP Nextはその次世代ソフトウェアです。このソフトウェアは、運用の複雑さを減らし、パフォーマンスとセキュリティを向上させることを目的としています。Central Managerは、これらのBIG-IP Nextインスタンスとサービスを一元管理するための中心的なハブです。

Eclypsiumの報告によると、5つのバグが特定され、そのうち2つはCVEに割り当てられて修正されましたが、残りの3つはCVEに割り当てられず、修正されていません。CVEに割り当てられたバグは、一つがOpen Data Protocol (OData)の問い合わせを処理する際の脆弱性、もう一つがSQLインジェクションの脆弱性で、どちらも機密データの漏洩を可能にするものです。

修正されていない3つの問題については、攻撃者が管理者アカウントにアクセスし、操作することを可能にするもので、F5はこれらを製品のセキュリティに直接的な影響を与えるものとは見なしていません。しかし、これらの脆弱性を利用することで、攻撃者は長期間にわたってアクセスを維持することが可能になります。

この問題の根底にあるのは、中央管理プラットフォームが攻撃者にとって非常に魅力的なターゲットとなることです。管理インターフェースは隔離されたネットワーク上に置くべきであり、保護されるデバイスの可視性の限界にも注意が必要です。特に、攻撃が発生した場合にそれを検出することが難しくなる可能性があります。

このような脆弱性は、組織にとって重大なセキュリティリスクをもたらします。攻撃者がシステムを完全に制御できるようになると、機密情報の漏洩や不正なアクセス、さらにはサービスの停止など、様々な悪影響が考えられます。そのため、F5の顧客は速やかに対応し、推奨されるソフトウェアバージョンへの更新を行うことが重要です。

また、この問題は、セキュリティ対策の重要性を改めて浮き彫りにします。特に、中央管理プラットフォームを使用する際には、そのセキュリティを確保するための追加的な対策が必要となります。組織は、攻撃者による悪用を防ぐために、常に最新のセキュリティ情報に注意を払い、システムの定期的な監査と更新を行うべきです。

from 2 (or 5) Bugs in F5 Asset Manager Allow Full Takeover, Hidden Accounts.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » F5 NetworksのBIG-IPに深刻な脆弱性、隠しアカウント作成の恐れ