F5 BIG-IP の認証バイパスの脆弱性 CVE-2023-46747 が FIX:RCE の可能性

F5 fixes BIG-IP auth bypass allowing remote code execution attacks

2023/10/27 BleepingComputer — F5 BIG-IP コンフィグレーション・ユーティリティに存在する、リモート・コード実行の脆弱性により、このプラットフォームへのリモート・アクセスが生じる可能性がある。この脆弱性 CVE-2023-46747 (CVSS:9.8) の複雑度の低く、また、認証を必要とせずに悪用される可能性があるため、Critical と評価されている。F5 のセキュリティ・アドバイザリには、「この脆弱性により、BIG-IP システムにネットワーク・アクセスが可能な未認証の攻撃者が、管理ポートおよび自己の IP アドレスを通じて、任意のシステム・コマンドを実行する可能性が生じる」と記されている。


攻撃の対象となるのは、Traffic Management User Interface (TMUI) がインターネットに公開されているデバイスのみであり、データプレーンには影響を及ぼさない。しかし、一般的に TMUI は内部で公開されているため、すでにネットワークに侵入している脅威者が、この欠陥を悪用する可能性がある。

影響を受ける BIG-IP のバージョンは以下のとおりである:

  • 17.x: 17.1.0
  • 16.x: 16.1.0 – 16.1.4
  • 15.x: 15.1.0 – 15.1.10
  • 14.x: 14.1.0 – 14.1.5
  • 13.x: 13.1.0 – 13.1.5

また、この脆弱性 CVE-2023-46747 は、BIG-IP Next/BIG-IQ Centralized Management/F5 Distributed Cloud Services/F5OS/NGINX/Traffix SDC 製品には影響しない。

その一方で、EoL (end of life) に達した製品バージョンに関しては、脆弱性 CVE-2023-46747 に関する評価が行われていないため、この脆弱性の有無も判断できないという。つまり、EoL バージョンの使用にはリスクが伴うため、可能な限り早急に、サポートされているバージョンへのアップグレードが推奨される。

公開と修正

この問題は、Praetorian Security の研究者である Thomas Hendrickson と Michael Weber により発見され、2023年10月5日に F5 に報告された。研究者たちは、脆弱性 CVE-2023-46747 に対するシステム・パッチが適用され次第、技術的な詳細を共有し、悪用の全容を開示すると、Praetorian はブログで述べている。

F5 は 10月12日の時点で、この脆弱性が再現されたことを確認し、2023年10月26日にアドバイザリとセキュリティ・アップデートを公開した。

本脆弱性に対応する推奨アップデートバージョンは以下の通りである:

  • 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG
  • 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG
  • 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG
  • 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG
  • 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG

また、セキュリティ更新プログラムを直ちに適用できない管理者が、この問題を軽減するためのスクリプトも、F5 はアドバイザリで提供している。

注意してほしいのは、このスクリプトが、BIG-IP バージョン 14.1.0 以降にのみに適合している点である。また、FIPS 140-2 Compliant Mode ライセンスを使用している場合には、この緩和スクリプトにより、FIPS 整合性チェックに失敗する可能性が生じるという。そのいため、注意が必要となる。

  1. F5 が提供するスクリプトを使用して緩和策を適用する際には、次の手順に従ってほしい:
  2. 影響を受ける BIG-IP システムにスクリプトをダウンロードして保存する。
  3. .txt ファイルの拡張子を .sh に変更する (例 mitigation.sh)。
  4. 影響を受ける BIG-IP システムのコマンド ラインに、root ユーザーとしてログインする。
  5. chmod ユーティリティを使用して、スクリプトを実行可能にする (chmod +x /root/mitigation.sh && touch /root/mitigation.sh)。
  6. スクリプトを ‘/root/mitigation.sh’ で実行する。

VIPRION/VIPRION上 の vCMP ゲスト、および、VELOS 上の BIG-IP テナントは、各ブレード上で個別にスクリプトを実行する必要がある。それらのブレードに、管理 IP アドレスが割り当てられていない場合には、シリアル・コンソールの接続が必要となる。

F5 BIG-IPデバイスは、政府機関/Fortune 500/銀行/サービス・プロバイダおよび、大手のコンシューマ・ブランドで使用されている。したがって、一連のデバイスの悪用を防ぐために、利用可能な修正プログラムまたは緩和策を適用することが、強く推奨される。さらに Praetorian は、このトラフィック管理ユーザー・インターフェイスについて、インターネットに公開すべきではないと警告している。

残念ながら、過去の事例で示されるように、F5 BIG-IP TMUI の脆弱性を悪用する攻撃者がデバイスをワイプし、ネットワークへのイニシャル・アクセスを取得したことがある。

F5 の脆弱性ですが、前回のものは 2023/02/02 の「F5 BIG-IP の脆弱性 CVE-2023-22374:DoS/コード実行につながる可能性」であり、前々回は 2022/11/16 の「F5 製品群の深刻な RCE 脆弱性が FIX:Rapid7 が報告した CVE-2022-41622 など」でした。よろしければ、F5 で検索も、ご利用ください。