F5 BIG-IP Vulnerability (CVE-2024-45844): Access Control Bypass Risk, PoC Available
2024/10/17 SecurityOnline — ネットワーク・トラフィック管理とセキュリティ・ソリューションを提供する F5 BIG-IP に、深刻な脆弱性の存在が確認された。この脆弱性 CVE-2024-45844 (CVSSv4:8.6) を悪用する認証済みの攻撃者は、アクセス制御制限を回避し、システムに脅威をもたらす可能性を得る。
F5 のセキュリティ・アドバイザリには、「BIG-IP のモニタリング機能に存在する脆弱性により、マネージャー権限を持つ認証済みの攻撃者であれば、権限昇格やコンフィグ改竄などの可能性を得る」と記されている。つまり、ポート・ロックダウンの設定が有効化されていても、必要な認証情報を入手した攻撃者であれば、この脆弱性を悪用して不正なアクセスと制御を可能にするということだ。
脆弱性 CVE-2024-45844 は、F5 BIG-IP の種バージョンの、それぞれのブランチ (17.x/16.x/15.x) に影響を与える。この脆弱性が悪用されると、特権の昇格や、コンフィグの改ざんなどに加えて、システムの完全な侵害につながる可能性もある。この脆弱性はコントロール・プレーンに限定されており、データ・プレーンは露出しないが、潜在的な影響は深刻である。攻撃者は、機密情報への不正アクセス/ネットワーク・トラフィックの混乱を始め、さらなる攻撃の実行の可能性も手にする。
脆弱性 CVE-2024-45844 の発見者である Almond の myst404 (@myst404_) は、技術的詳細と PoC も公開している。
F5 は、「この脆弱性の緩和は難しい。この攻撃は、正規の認証済みユーザーにより実行されるため、SSH 経由でのコンフィグ・ユーティリティやコマンド・ライン・アクセスを、ユーザーに許可するための現実的な緩和策が存在しない」と述べている。主な推奨事項は、コンフィグ・ユーティリティと SSH へのアクセスを、完全に信頼できるユーザーとネットワークだけに制限することである。
すでに F5 は、この脆弱性に対応する BIG-IP のアップデート版をリリースしている。影響を受けるバージョンを使用している組織に推奨されるのは、最新のバージョンへと、可能な限り早急にシステムをアップデートすることだ。また、アップデートが適用されるまでの間は、コンフィグ・ユーティリティと SSH への自己 IP アドレスまたは、管理インターフェースを介したアクセスをブロックするなどの、一時的な緩和策を実施できる。
文中で指摘されている、「この攻撃は、正規の認証済みユーザーにより実行されるため、SSH 経由でのコンフィグ・ユーティリティやコマンド・ライン・アクセスを、ユーザーに許可するための現実的な緩和策が存在しない」という点が気になりますね。PoC もリリースされていますので、ご利用のチームは、十分に ご注意ください。よろしければ、F5 BIG-IP で検索で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.