F5 BIG-IP の Critical バグは特定の条件下で 9.9 の深刻度に変容する

Critical F5 BIG-IP bug impacts customers in sensitive sectors

2021/08/25 BleepingComputer — F5 BIG-IP アプリケーション・サービスだが、同社のネットワーク機器に存在する十数件の深刻度の高い脆弱性を修正し、そのうちの1件は特定の条件下での深刻度が Critical へと昇格した。これらの問題は、今月に配信されたセキュリティ・アップデートの一部であり、複数の F5 デバイスに存在する約30件の脆弱性に対応するものだ。

機密性の高い領域での重大なバグ

F5 が修正した 13件の深刻度の高い不具合のうち1件は、特に機密性の高い分野の顧客ニーズを満たすように設計された構成で重要なものであり、システムが極めて危険な状況に陥る可能性があるという。この問題は、現在 CVE-2021-23031 として追跡されており、BIG-IP モジュールの Advanced WAF (Web Application Firewall) と Application Security Manager (ASM) に影響するが、とりわけ Traffic Management User Interface (TMUI) への影響が深刻だという。

通常の深刻度は 8.8 の特権昇格であり、Configuration ユーティリティにアクセスできる認証済みの攻撃者が、それを悪用した任意のシステム・コマンド実行を行うことで、システムが完全に侵害される可能性がある。また、いくつかの技術的な制限が適用されるアプライアンス・モードを使用している顧客においては、同じ脆弱性の深刻度が 9.9 と評価されている。

F5 の CVE-2021-23031 に関するセキュリティ・アドバイザリでは、深刻度の評価が分かれる理由について、あまり詳しく説明されていないが、更新版のインストールおよび緩和策を適用を実施しない場合は、重大なバグのバリアントの影響を受ける、限られた数の顧客が生じると指摘されている。デバイスのアップデートが不可能な場合の緩和策は、Configuration ユーティリティへのアクセスを、完全に信頼できるユーザーのみに制限することが、悪用の可能性を防御する唯一の方法であると、F5 は述べている。

この CVE-2021-23031 を除いて、8月に F5 が対処した 12件の脆弱性の CVSS 値は 7.2~7.5 である。そのうち半数は、すべてのモジュールに影響し、5つは Advanced WAF と ASM に、1つは DNS モジュールに影響する。脆弱性の種類は、認証ユーザーによるリモート・コマンド実行、クロスサイト・スクリプティング (XSS)、リクエスト・フォージェリー、不十分なパーミッション、サービス拒否などの多岐にわたる。

セキュリティ修正の対象となる脆弱性には、深刻度の低いバグ (Medium とLow) も含まれており、それぞれが F5 のアドバイザリで公開されている。米国の CISA (Cybersecurity and Infrastructure Security Agency) は、F5 のセキュリティ・アドバイザリに関する通知を発表し、ユーザーや管理者に対して、同社からの情報を確認し、ソフトウェア・アップデートのインストールもしくは、必要な緩和策の適用を呼びかけている。

この脆弱性 CVE-2021-23031 は、8月27日にお隣のキュレーション・チームが拾っていました。現時点では、NVD が追いついていないので、F5 のアドバイザリの情報だけとなり、CWE も空欄となっています。F5 BIG-IP に関連するポストとしては、「FBI 警告:この2年間の最凶脆弱性 Top-12」と「ロシアン・ハッカーたちが悪用する脆弱性 Top-12 とは?」があり、どちらにも CVE 2020-5902 入っていました。

%d bloggers like this: