F5 – IoT OT Security News

F5 侵害と大規模な情報漏洩：オンラインに露出する約 27万台の F5 デバイス – 日本は２位

Over 269,000 F5 Devices Exposed Online After Major Breach: U.S. Faces Largest Risk

2025/10/17 CyberSecurityNews — F5 による情報公開は、同社が明らかにした高度な国家レベルの攻撃の直後に行われたものだ。この攻撃では、F5 の開発環境が侵害され、ソースコード／BIG-IP 製品の未公表脆弱性の詳細情報が盗み出された。その影響が及ぶ範囲として挙げられるのは、公開されたデバイスの約半数にあたる 134,000 台が集中する米国であり、F5 のアプリケーション・デリバリー・コントローラーに依存する世界中の組織に警鐘を鳴らしている。2024年8月に検知された今回の侵害の特質は、長期にわたる不正アクセスにあり、F5 のインフラに存在する脆弱性を露呈するものだ。この問題により、公開されたデバイスへのリスクが増大する可能性がある。

F5 がリリースした 44件の脆弱性に対する緊急パッチ：盗まれたソースコードへの懸念を払拭

F5 Released Security Updates Covering Multiple Products Following Recent Hack

2025/10/17 CyberSecurityNews — F5 Networks が公表したのは、国家レベルの脅威アクターによる深刻なセキュリティ侵害と、コア製品の重要なアップデートのリリースである。2025年8月に検知されたインシデントの分析の結果として判明したのは、同社の社内システムが長期間にわたり不正アクセスされ、BIG-IP のソースコードと未公開の脆弱性データが窃取されたことだった。それを受けた F5 は、高まるリスクの中で顧客を保護するために、BIG-IP／F5OS／BIG-IQ／APM クライアントおよび、Kubernetes 向け BIG-IP Next にパッチを展開した。

F5 に侵入した脅威アクター：BIG-IP のソースコードと脆弱性関連の機密情報を盗み出す

Hackers Breach F5 and Stole BIG-IP Source Code and Undisclosed Vulnerability Data

2025/10/15 gbhackers — F5 Networks が認めたのは、国家に支援される高度な脅威アクターによる自社システムへの侵入により、BIG-IP のソースコードと機密の脆弱性情報が盗み出されたことだ。この 2025年8月に発生したインシデントは、F5 の製品開発およびエンジニアリング・ナレッジ・プラットフォームを標的とするものであり、顧客の保護と信頼回復のため、迅速な対応と一連の緩和策が実施された。

BIG-IP 製品群の脆弱性 CVE-2025-54500 が FIX：HTTP/2 の欠陥を突くサービス拒否攻撃

F5 Fixes HTTP/2 Flaw Affecting Multiple Products in Massive DoS Attacks

2025/08/15 gbhackers — 2025年8月13日に、F5 Networks が公表したのは、複数の BIG-IP 製品に影響を与える、新たな HTTP/2 の脆弱性 CVE-2025-54500 に関する情報である。この脆弱性を悪用する攻撃者は、HTTP/2 実装の欠陥を突き、細工された制御フレームを用いてシステムを圧倒し、エンタープライズ・ネットワークに対してサービス拒否攻撃を仕掛けられる。その結果として、世界中の組織の重要なネットワーク・インフラに混乱が生じる恐れがある。

F5 BIG-IP の脆弱性 CVE-2025-31644 が FIX：セキュリティ・バイパスと PoC の提供

PoC Released: CVE-2025-31644 Exploit Grants Root Access on F5 BIG-IP via Appliance Mode Command Injection

2025/05/13 SecurityOnline — アプライアンス・モードで動作中の F5 BIG-IP システムで生じる、高深刻度の脆弱性 CVE-2025-31644 が発見された。この脆弱性の悪用に成功した認証済みの管理ユーザーは、任意の bash コマンドを実行し、ルート権限を取得する可能性を得る。この脆弱性は、iControl REST API／tmsh (Traffic Management Shell) CLI インターフェイスに影響を及ぼすものであり、Deloitte の MatMatei “Mal” Badanoiu により報告されている。

NGINX の脆弱性 CVE-2025-23419 が FIX：TLS Session 再開の問題

F5 Warns of TLS Session Resumption Vulnerability in NGINX (CVE-2025-23419)

2025/02/05 SecurityOnline — F5 が発行したのは、人気の Web サーバ・ソフトウェア NGINX に存在する脆弱性に関するセキュリティ・アドバイザリ警告である。この脆弱性 CVE-2025-23419 の悪用に成功した攻撃者は、クライアント証明書の認証をバイパスし、機密リソースへの不正アクセスの可能性を手にする。

F5 BIG-IP の脆弱性 CVE-2024-45844 (CVSS：8.6) が FIX：PoC エクスプロイトも提供

F5 BIG-IP Vulnerability (CVE-2024-45844): Access Control Bypass Risk, PoC Available

2024/10/17 SecurityOnline — ネットワーク・トラフィック管理とセキュリティ・ソリューションを提供する F5 BIG-IP に、深刻な脆弱性の存在が確認された。この脆弱性 CVE-2024-45844 (CVSSv4：8.6) を悪用する認証済みの攻撃者は、アクセス制御制限を回避し、システムに脅威をもたらす可能性を得る。

CISA 警告：F5 BIG-IP クッキーを悪用するハッカーが内部サーバをマッピング

CISA: Hackers abuse F5 BIG-IP cookies to map internal servers

2024/10/11 BleepingComputer — CISA が警告しているのは、標的ネットワーク内のデバイスを特定して標的化するために、暗号化されていない永続的な F5 BIG-IP クッキーを、脅威アクターが悪用しているという状況である。この脅威アクターは、サイバー攻撃の計画段階の一部として、内部デバイスをマッピングすることで、ネットワーク上の脆弱なデバイスを特定する可能性を得ている。

ユーザー向け API の保護：HTTPS を使わない 30% の接続という現状

30% of customer-facing APIs are completely unprotected

2024/10/08 HelpNetSecurity — ユーザー向け API の 70% は HTTPS により保護されているが、残りの 30%は保護されていないと、F5 が指摘している。これまでの10年間における、セキュアな Web 通信の推進により、いまでは Web ページの 90% が、HTTPS 経由でアクセスされ用になってきたが、API に関しては対照的な状況にあるとも言える。

F5 のレガシー・デバイスを悪用：３年間にわたり潜み続けた中国系ハッカーの TTP を分析 – Sygnia

China-Linked Hackers Infiltrate East Asian Firm for 3 Years Using F5 Devices

2024/06/17 TheHackerNews — 中国と密接な関係にあると疑われるサイバー・スパイが、約３年間という長期間にわたり、東アジアの無名の組織に対して攻撃を続けていたことが判明した。この脅威アクターは、F5 BIG-IP のレガシー・アプライアンスを悪用して永続性を確立し、内部 C&C (command-and-control) として使用することで、セキュリティを回避していた。2023年の後半に、この活動に対応したサイバー・セキュリティ企業 Sygnia は、Velvet Ant という名前で追跡した結果として、迅速な機動力と対処策に適応する強力な能力を有すると分析している。

F5 BIG-IP の脆弱性 CVE-2024-21793：アップデートと PoC が提供された

New BIG-IP Next Central Manager bugs allow device takeover

2024/05/08 BleepingComputer — F5 の BIG-IP Next Central Manager に存在する、２件の脆弱性が修正された。この脆弱性の悪用に成功した攻撃者は、管理者権限を取得し、管理対象資産に不正な隠しアカウントを作成できるという。管理者は Next Central Manager を使用することによって、統合管理ユーザー・インターフェイスを介して、オンプレミス／クラウドの BIG-IP Next インスタンス／サービスを制御できるようになる。

UNC5174 という中国ハッカー：F5／ScreenConnect の脆弱性を悪用して攻撃を展開

Chinese State-Linked Hackers Target Critical Systems; Exploit F5 and ScreenConnect Flaws

2024/03/22 SecurityOnline — UNC5174 という新たな脅威アクターが、ゼロデイおよび最近にパッチが適用された脆弱性を悪用して、一連の標的型侵入を仕掛けていることが、Mandiant のレポートにより明らかになった。同グループの活動は、技術力の高い標的攻撃により、特に政府／防衛／学術などの分野における、価値の高い組織をターゲットにするものだ。

NGINX の緊急アップデート：新たな脆弱性 CVE-2024-24989／CVE-2024-24990 が FIX

NGINX Releases Urgent Patch for HTTP/3 Vulnerabilities (CVE-2024-24989, CVE-2024-24990)

2024/02/14 SecurityOnline — 数多くの高トラフィック Web サイトを支える、代表的な Web サーバの１つである NGINX が、緊急パッチ (バージョン1.25.4) をリリースし、実験的な HTTP/3 実装に潜む２つの重大な脆弱性 CVE-2024-24989／CVE-2024-24990 に対処した。この新しく高速なプロトコルは、Web のパフォーマンスを向上させるが、その最先端性ゆえに、潜在的なセキュリティ・リスクも引き起こしている。

CISA KEV 警告 23/10/31：F5 BIG-IP の CVE-2023-46747／CVE-2023-46748 を KEV に追加

CISA Adds Two F5 F5 BIG-IP Flaws To Its Known Exploited Vulnerabilities Catalog

2023/11/01 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、F5 BIG-IP の脆弱性 CVE-2023-46747／CVE-2023-46748 を Known Exploited Vulnerabilities カタログに追加した。

F5 BIG-IP の脆弱性：CVE-2023-46747／CVE-2023-46748 の連鎖が悪用されている

Alert: F5 Warns of Active Attacks Exploiting BIG-IP Vulnerability

2023/11/01 TheHackerNews — F5 BIG-IP の深刻な脆弱性の公開から１週間も経たないうちに、悪用チェーンの一部として任意のシステム・コマンド実行が生じる可能性のある、積極的な悪用に関する警告が発せられた。管理ポートを介して BIG-IP システムにネットワーク・アクセスできる未認証の攻撃者が、この脆弱性 CVE-2023-46747 (CVSS：9.8) の悪用に成功すると、コード実行が可能になる。それを証明する PoC エクスプロイトが、ProjectDiscovery から共有された。

F5 BIG-IP の認証バイパスの脆弱性 CVE-2023-46747 が FIX：RCE の可能性

F5 fixes BIG-IP auth bypass allowing remote code execution attacks

2023/10/27 BleepingComputer — F5 BIG-IP コンフィグレーション・ユーティリティに存在する、リモート・コード実行の脆弱性により、このプラットフォームへのリモート・アクセスが生じる可能性がある。この脆弱性 CVE-2023-46747 (CVSS：9.8) の複雑度の低く、また、認証を必要とせずに悪用される可能性があるため、Critical と評価されている。F5 のセキュリティ・アドバイザリには、「この脆弱性により、BIG-IP システムにネットワーク・アクセスが可能な未認証の攻撃者が、管理ポートおよび自己の IP アドレスを通じて、任意のシステム・コマンドを実行する可能性が生じる」と記されている。

F5 BIG-IP の脆弱性 CVE-2023-22374：DoS／コード実行につながる可能性

F5 BIG-IP Vulnerability Can Lead to DoS, Code Execution

2023/02/02 SecurityWeek — F5 が発している警告によると、BIG-IP に存在する深刻なフォーマット文字列の脆弱性により、認証された攻撃者がサービス拒否 (DoS) 状態を引き起こし、任意のコードを実行する可能性があるようだ。この脆弱性 CVE-2023-22374 は、システム間の通信を可能にするために root として実行される、iControl SOAP というオープン API に影響を与える。

WAF に JSON を投げ込む攻撃手法：バイパスが可能になるという Claroty の調査

Researchers Detail New Attack Method to Bypass Popular Web Application Firewalls

2022/12/10 TheHackerNews — さまざまなベンダーの Web Application Firewalls (WAF) を回避したシステムへの侵入により、企業や顧客の機密情報へのアクセスを、脅威アクターに許す可能性のある、新たな攻撃方法が発見された。WAF は重要な防衛線であり、Web アプリケーションとの間で HTTP (S) トラフィックをフィルタリング／監視／ブロックし、CSRF／XSS／SQL インジェクション／ファイル・インクルードなどの攻撃からシステムを保護するものだ。

F5 製品群の深刻な RCE 脆弱性が FIX：Rapid7 が報告した CVE-2022-41622 など

Remote Code Execution Vulnerabilities Found in F5 Products

2022/11/16 SecurityWeek — サイバー・セキュリティ企業 Rapid7 の研究者たちが、F5 製品群に影響を及ぼす複数の脆弱性および、その他の潜在的なセキュリティ問題を特定した。８月中旬に Rapid7 から F5 に調査結果がベンダーに報告され、セキュリティ・ホールやエンジニアリング・ホットフィックスなどのアドバイザリが、水曜日に両社からリリースされた。

CISA と MS-ISAC の共同勧告：進行中の F5 BIG-IP 攻撃をブロックするためのガイダンス

CISA shares guidance to block ongoing F5 BIG-IP attacks

2022/05/18 BleepingComputer — CISA と Multi-State Information Sharing and Analysis Center (MS-ISAC) は、本日に発表した共同アドバイザリにおいて、F5 BIG-IP ネットワーク・セキュリティの深刻な脆弱性 CVE-2022-1388 を狙う攻撃が活発化しているとして、管理者たちに警告を発した。このアドバイザリには、「CISA と MS-ISAC は、政府機関および民間企業のネットワークにおいて、未パッチの F5 BIG-IPデバイス (主に管理ポートまたは自己 IP が公開されている) が広範囲で悪用されると推測する」と記されている。

BLACK HAT ASIA 2022 での発表：SQL クエリーの変換により WAF バイパスが可能になる

Transforming SQL Queries Bypasses WAF Security

2022/05/13 DarkReading — BLACK HAT ASIA 2022 – ある大学研究者のチームが基本的な機械学習を用いて、一般的な WAF には悪意のものとして検出されずに、攻撃者のペイロードを配信するパターンを特定したと、シンガポールで開催中の Black Hat Asia で発表した。中国浙江大学の研究者は、一般的な SQL を用いて、Web アプリケーションのデータベースを標的とした、インジェクション攻撃を変換する一般的な方法に着手した。

CISA 警告 5/10：F5 BIG-IP の深刻な脆弱性 CVE-2022-1388 を KEV リストに追加

CISA tells federal agencies to fix actively exploited F5 BIG-IP bug

2022/05/11 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、積極的に悪用されるバグのリストに、BIG-IP ネットワーク・デバイスに深刻な影響を与える、脆弱性 CVE-2022-1388 を新たに追加した。BIG-IP ソリューションを使用する F5 の顧客の中には、連邦政府機関／Fortune 500 企業／銀行／サービス・プロバイダ／コンシューマ・ブランド (Microsoft／Oracle／Facebook など) が含まれているが、同社は Fortune 50 のうちの 48社が F5ユーザーだとしている。

F5 BIG-IP の深刻な脆弱性 CVE-2022-1388 が FIX：デバイスの消去も起こり得る

Critical F5 BIG-IP vulnerability exploited to wipe devices

2022/05/10 BleepingComputer — 先日に公開された F5 BIG-IP の脆弱性は、デバイスのファイル・システムを消去し、サーバを使用不能にするという、破壊的な攻撃に悪用されかねないものである。先週に F5 は、脆弱性 CVE-2022-1388 を公開し、リモート攻撃者が認証なしで BIG-IP ネットワーク・デバイス上で、root としてコマンドを実行できる問題を示した。このバグは極めて深刻であるため、F5 は管理者に対して、可能な限り早急にアップデートを適用するよう促している。

F5 BIG-IP の深刻な脆弱性 CVE-2022-1388 が FIX：bash を狙ったバックドア展開が多発

Hackers exploiting critical F5 BIG-IP flaw to drop backdoors

2022/05/09 BleepingComputer — F5 BIG-IP の、すべてのモジュールの複数のバージョンに影響を与える、深刻な脆弱性の悪用に成功した攻撃者たちが、悪意のペイロードをドロップするという脅威が大量に発生し始めている。先週に F5 は、BIG-IP iControl の REST 認証コンポーネントに影響を及ぼす、脆弱性 CVE-2022-1388 (CVSS：9.8) に対するパッチをリリースした。

F5 BIG-IP の RCE 脆弱性 CVE-2022-1388 が FIX：16,000台のデバイスに乗っ取りの可能性

F5 warns of critical BIG-IP RCE bug allowing device takeover

2022/05/04 BleepingComputer — F5 はセキュリティ・アドバイザリを発表し、ネットワーク・アクセス権を持つ未認証の攻撃者に対して、BIG-IP 上で任意のシステム・コマンド実行や、ファイル操作、サービスの無効化などを、許してしまう欠陥について注意を促している。この脆弱性 CVE-2022-1388 の深刻度は Critical (CVSS：9.8) に分類され、悪用によりシステムを完全に乗っ取られる可能性がある。

OpenSSL の脆弱性 CVE-2022-0778 の追跡調査：各ベンダーたちの現状について

Cybersecurity Vendors Assessing Impact of Recent OpenSSL Vulnerability

2022/03/31 SecurityWeek — ３月の初めに発生した OpenSSL の脆弱性が、自社の製品やサービスに与える影響について、セキュリティ／クラウド／ストレージなどのベンダーたちが評価を進めている。OpenSSL プロジェクトが公開した更新プログラムでは、証明書の解析に関連する深刻度の高いサービス拒否 (DoS) 脆弱性に対してパッチが適用されている。このセキュリティ・ホールは、Google の脆弱性研究者である Tavis Ormandy が報告したものであり、CVE-2022-0778 として追跡され、OpenSSL の Ver 1.0.2／1.1.1／3.0 に影響を及ぼしている。このリリースにより、Ver 1.0.2zd／1.1.1n／3.0.2 で修正されている。

F5 BIG-IP の Critical バグは特定の条件下で 9.9 の深刻度に変容する

Critical F5 BIG-IP bug impacts customers in sensitive sectors

2021/08/25 BleepingComputer — F5 BIG-IP アプリケーション・サービスだが、同社のネットワーク機器に存在する十数件の深刻度の高い脆弱性を修正し、そのうちの１件は特定の条件下での深刻度が Critical へと昇格した。これらの問題は、今月に配信されたセキュリティ・アップデートの一部であり、複数の F5 デバイスに存在する約30件の脆弱性に対応するものだ。