F5 BIG-IP の脆弱性 CVE-2025-20029 が FIX:コマンド・インジェクションと PoC のリリース

CVE-2025-20029: Command Injection Flaw Discovered in F5 BIG-IP System, PoC Releases

2025/02/26 SecurityOnline —人気のネットワーク・トラフィック管理/セキュリティ・ソリューションである F5 BIG-IP システムに、コマンド・インジェクションの脆弱性が発見された。この脆弱性 CVE-2025-20029 は、iControl REST API と BIG-IP TMOS Shell (tmsh) に影響を及ぼすものであり、Deloitte の Matei “Mal” Badanoiu が報告したものである。

この脆弱性 CVE-2025-20029 は、F5 BIG-IP のバージョン 17.x/16.x/ 15.x に影響するものであり、その悪用に成功した低権限の攻撃者は、権限昇格と任意のコマンド実行を達成し、システム・ファイルを操作する可能性を手にする。幸いなことに、BIG-IQ Centralized Management は影響を受けないという。

この脆弱性はコントロール・プレーンの欠陥に起因するものであり、データ・プレーンにダイレクトに影響することはないが、システム・コントロール・レベルで悪意のアクションを許してしまう。認証された攻撃者であれば、特別に細工されたリクエストの iControl REST 経由でのリモート送信や、操作された tmsh コマンドを介したローカル送信により、この欠陥を悪用できるという。

さらに懸念されるのは、F5 の制限された Traffic Management Shell (tmsh) 内での悪用の手口である。通常において、管理者以外のロール を持つユーザーは、実行できるコマンドを制限されている。しかし、攻撃者は tmsh コマンド解析を用いてバイパスを発見できる。

  1. 攻撃者は、低権限のユーザーとして SSH 経由でログインする。
  2. 特権コマンドをダイレクトに発行する代わりに、save sys config parties コマンドを悪用する。
  3. 引用符で囲まれた特別な tmsh 文字シーケンスを挿入することで、意図されたコマンド・スコープを回避する攻撃者は、任意のシェル・コマンドを実行しできる。

現実の PoC エクスプロイトは、以下の細工されたコマンドの悪用を実証している。

save sys config parties { Common “; bash -c id ; #” }

この悪意のコマンドにより、次の処理が実行される:

save sys config partitions { Common }; bash -c id;

基本的に、攻撃者は、コマンド・インタープリターにシェル・コマンドを root として実行させ、従来のアクセス制限を回避していく。

脆弱性 CVE-2025-20029 の悪用に成功した攻撃者は、以下のアクションを可能にする:

  • root 権限で、任意のシステム・コマンドを実行する。
  • システム・ファイルを作成/変更/削除し、システムの不安定化や侵害を引き起こす可能性を手にする。
  • 低権限のユーザーから、完全な管理者権限へと権限を昇格させる。

すでに F5 は、影響を受けるバージョンに対するパッチをリリースしている。管理者に強く推奨されるのは、速やかな更新である。パッチがインストールされるまでの間は、以下の緩和手順も適用できる:

  1. iControl REST アクセスを、 信頼できるネットワークまたはデバイスだけに制限する。
    Port Lockdown を Allow None に設定し、自己 IP 経由の iControl REST をブロックする。
  2. 外部からの不正使用を防ぐために、管理インターフェースにおける iControl REST を制限する。
  3. ログと SSH アクセスを監視して、異常なアクティビティを検出する。
  4. PoLP (principle of least privilege) を適用し、tmsh アクセスを必要なユーザーだけに制限する。

影響を受けるブランチの、パッチ適用バージョンは以下のとおりである:

  • BIG-IP 17.x:17.1.2.1 で修正済み
  • BIG-IP 16.x:16.1.5.2 で修正済み
  • BIG-IP 15.x:15.1.10.6 で修正済み

​F5 BIG-IP の iControl REST API/BIG-IP TMOS Shell (tmsh) に影響を及ぼす脆弱性 CVE-2025-20029 が FIX しました。PoC が提供されていますので、ご利用のチームは、十分にご注意ください。この製品の前回の脆弱性は、2024/10/17 の「F5 BIG-IP の脆弱性 CVE-2024-45844 (CVSS:8.6)​​ が FIX:PoC エクスプロイトも提供」となります。よろしければ、​F5 BIG-IP で検索と併せて、ご参照下さい。