CISA と MS-ISAC の共同勧告:進行中の F5 BIG-IP 攻撃をブロックするためのガイダンス

CISA shares guidance to block ongoing F5 BIG-IP attacks

2022/05/18 BleepingComputer — CISA と Multi-State Information Sharing and Analysis Center (MS-ISAC) は、本日に発表した共同アドバイザリにおいて、F5 BIG-IP ネットワーク・セキュリティの深刻な脆弱性 CVE-2022-1388 を狙う攻撃が活発化しているとして、管理者たちに警告を発した。このアドバイザリには、「CISA と MS-ISAC は、政府機関および民間企業のネットワークにおいて、未パッチの F5 BIG-IPデバイス (主に管理ポートまたは自己 IP が公開されている) が広範囲で悪用されると推測する」と記されている。

CISA は、「ユーザーと管理者に対して、F5 BIG-IP ソフトウェアのアップデートを推奨するが、直ちにアップデートできない場合の一時的な回避策や、検出方法と緩和策について、共同アドバイザリを確認するよう促している」と付け加えている。

管理者たちに求められるのは、F5 BIG-IP の管理インターフェイスをインターネットから削除し、可能な限り早急に多要素認証を導入することで、脆弱なデバイスへのアクセスをブロックすることだ。

また、脆弱性 CVE-2022-1388 に対処するパッチが適用された、F5 BIG-IP のソフトウェアの最新バージョンに、直ちにアップグレードすることも推奨されている。本日中にパッチを適用できない場合は、以下の一時的な回避策を実施することで、攻撃ベクターを排除することが可能だ。

  • 自己の IP アドレスを介した iControl REST アクセスをブロックする。
  • 管理インターフェイスを介した iControl REST アクセスをブロックする。
  • BIG-IP httpd の設定を変更する。

この勧告には、侵害されたシステムを検出するための Snort および Suricate シグネチャと、侵害が発生した場合の詳細なインシデント対応勧告も含まれている。パッチを直ちに適用できない組織や、F5 BIG-IP デバイスの管理インターフェースがオンラインで公開している組織は、侵害されていると想定すべきだ。そして、本日の共同アドバイザリに含まれる検出シグネチャを使用した、悪意のアクティビティ検索を開始することが推奨される。

デバイスの乗っ取りを可能にする深刻な脆弱性

この脆弱性 CVE-2022-1388 は、BIG-IP iControl REST 認証コンポーネントに存在するものであり、悪用に成功したリモート攻撃者に対して、未パッチの BIG-IP ネットワーク・デバイス上で認証を要求することなく、root 権限でのコマンド実行を許してしまうものだ。

攻撃者たちは、セキュリティ研究者たちが Twitter や GitHub で、悪用方法について共有した数日後に、この脆弱性悪用を開始している。

当初、これらの脅威アクターの大半は、侵害したデバイス上に Web シェルをドロップするだけだった。しかし、SANS Internet Storm Center と、セキュリティ研究者である Kevin Beaumont は、悪意のある行為者が脆弱な BIG-IP デバイス上で、Linux ファイル・システムを消去するという攻撃を観測している。

一連の破壊的な攻撃の詳細について、BleepingComputer が問い合わせた際に F5 は、「現在、SANS と連絡を取り、この問題を調査している。まだアップデートしていない顧客に対しては、BIG-IP の修正バージョンへのアップデートを急ぐか、セキュリティ勧告に詳述されている緩和策を実施するよう促している。また、BIG-IP 管理インターフェース (TMUI) を、パブリックなインターネットに公開しないこと、そして、アクセスを制限するために適切な制御を行うことを、顧客に対して強く推奨している」と述べている。

本日の勧告は、CISA の積極的に悪用されている脆弱性リストに、1週間前に CVE-2022-1388 が追加されたことを受けてのものだ。CISA は、すべての連邦政府民間行政機関 (FCEB) に、この積極的に悪用される脆弱性に対して、5月31日までにパッチを適用し、進行中の破壊的な悪用の試みを阻止するよう求めている。

F5 BIG-IP の RCE 脆弱性 CVE-2022-1388 ですが、16,000台のデバイスに乗っ取りの可能性bash を狙ったバックドア展開が多発デバイスの消去も起こり得る というふうに深刻な事態が明らかになり、 5月11日にはCISA の KEV リストに追加されています。そして、ついに、CISA と MS-ISAC の共同勧告に至ったわけですが、それだけの悪用が生じているという、予想以上の深刻な状況に陥っているのでしょう。いま一度、この脆弱性について、ご確認ください。

%d bloggers like this: