F5 Warns of TLS Session Resumption Vulnerability in NGINX (CVE-2025-23419)
2025/02/05 SecurityOnline — F5 が発行したのは、人気の Web サーバ・ ソフトウェア NGINX に存在する脆弱性に関するセキュリティ・アドバイザリ警告である。この脆弱性 CVE-2025-23419 の悪用に成功した攻撃者は、クライアント証明書の認証をバイパスし、機密リソースへの不正アクセスの可能性を手にする。
この脆弱性は、 TLS 1.3 と OpenSSL を用いてセキュアに通信する、name-based の仮想ホストが、同じ IP アドレスとポートを共有する場合に発生する。TLS セッション・チケットまたは SSL セッション・キャッシュが有効化されている場合に、以前に認証された攻撃者であれば、サーバへの再接続の際にセッションを再利用し、クライアント証明書の認証をバイパスできてしまう。
F5 のアドバイザリ警告には、「この脆弱性により、リソースまたは機能が脅威アクターたちに公開され、機密情報に対する制限付きのアクセスが可能になる恐れがある」と記されている。
脆弱性 CVE-2025-23419 の影響範囲は、OpenSSL でコンパイルされた NGINX Open Source/NGINX Plus となる。なお、LibreSSL/BoringSSL を使用しているシステムには影響は生じない。
| Product | Vulnerable Versions | Fixed in |
|---|---|---|
| NGINX Plus | R28 – R33 | R33 P2, R32 P2 |
| NGINX Open Source | 1.11.4 – 1.27.3 | 1.27.4, 1.26.3 |
| Other NGINX Products | Not Affected | N/A |
F5 が推奨するのは、以下の緩和策である:
- 最後の手段として TLS 1.3 を無効化する。
- 各サーバ・ ブロックに対して、一意の IP アドレスとポートの組み合わせが設定されていることを確認する。
- クライアント認証を実行しない、デフォルトのスタブ・サーバをコンフィグする。
- 正しいクライアント証明書の値に対して、承認チェックを実行する。
NGINX の脆弱性 CVE-2025-23419 が FIX しました。今回の脆弱性は、TLS 通信の安全性に影響を与える可能性があり、早急な対策が求められます。ご利用のチームは、ご注意ください。なお、NGINX 関連の前回の脆弱性は、2024/05/30 の「NGINX の HTTP/3 実装における脆弱性:CVE-2024-32760 などが FIX」でした。よろしければ、NGINX で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.