最終更新日時: 2022年5月9日(月)17:57:00 GMT
2022年5月4日、F5は、iControl RESTにおいてリモートでのコード実行につながる重大な認証バイパスであるCVE-2022-1388(CVSSv3ベーススコア9.8)を含む複数の脆弱性を列挙したアドバイザリを公開しました。
この脆弱性は、17.0.0より前のBIG-IPの複数の異なるバージョンに影響を及ぼします。
2022年5月9日(月)、Horizon3は完全な概念実証を公開し、我々はこれを実行してroot shellを取得することに成功しました。他のグループも同様にエクスプロイトを開発しています。
ここ数日、BinaryEdgeは、F5 BIG-IPのスキャンと悪用が増加していることを検知しました。また、Twitter上では、悪用の試みも確認されています。この脆弱性の悪用が容易であること、悪用コードが公開されていること、ルートアクセスを提供していることから、悪用の試みは増加すると思われます。
しかし、インターネットに接続されているF5 BIG-IPデバイスの数が少ないため、広範な悪用はいくらか緩和されています。ただし、我々の最善の推測では、インターネット上には約2,500台のターゲットしか存在しません。
緩和に向けたガイダンス
F5 のお客様は、F5 のアップグレード手順を使用して、できるだけ早く BIG-IP デバイスにパッチを適用する必要があります。さらに、F5 BIG-IP デバイス(および類似のアプライアンス)の管理ポートをネットワーク レベルで厳密に制御し、許可されたユーザのみが管理インターフェイスにアクセスできるようにする必要があります。
また、F5 は勧告の一部として回避策を提供しています。パッチ適用やネットワークセグメンテーションが不可能な場合、この回避策により悪用されることを防ぐことができます。私たちは、回避策のみに頼るのではなく、常にパッチを適用することをお勧めします。
エクスプロイトの試みは、少なくとも2つの異なるログファイルに表示されます。
この脆弱性はルート侵害であるため、悪用に成功すると、回復が非常に困難になる可能性があります。最低でも、影響を受ける BIG-IP デバイスをゼロから再構築し、証明書とパスワードをローテーションする必要があります。
Rapid7のお客様
InsightVMとNexposeのお客様は、2022年5月5日のコンテンツリリースに含まれる認証済み脆弱性チェックで、CVE-2022-1388への曝露を評価することができます。このリリースには、F5の2022年5月のセキュリティアドバイザリにある追加のCVEに対する認証済み脆弱性チェックも含まれています。
参考資料:
本ブログは英語ブログ、"Active Exploitation of F5 BIT-IP iControl REST CVE-2022-1388" の機械翻訳に基づいています。