F5は、BIG-IP および BIG-IQ 製品のホットフィックスをリリースしました。
これは、攻撃者が脆弱なエンドポイントで認証されていないリモート コード実行 (RCE) を実行できるようにする 2 つの重大度の高い脆弱性に対処しています。
これらの欠陥には特定の基準が存在する必要があるため、悪用は非常に困難ですが、F5 はデバイスの完全な侵害につながる可能性があると警告しています。
最初の脆弱性は CVE-2022-41622 (CVSS v3 – 8.8) として追跡されており、iControl SOAP のクロスサイト フォージェリによる認証されていない RCE であり、複数の BIG-IP および BIG-IQ バージョンに影響を与えます。
「攻撃者は、少なくともリソース管理者ロールの権限を持ち、iControl SOAP の基本認証によって認証されたユーザーをだまして、重要なアクションを実行させる可能性があります」と F5 のアドバイザリは説明しています。
「脆弱性が悪用されると、システム全体が危険にさらされる可能性があります。」
2 つ目の欠陥は CVE-2022-41800 (CVSS v3 – 8.7) で、RPM スペック インジェクションによる認証済み RCE であり、iControl REST コンポーネントに影響を与えます。
脆弱な BIG-IP のバージョンは次のとおりです。
- 13.1.0 – 13.1.5
- 14.1.0 – 14.1.5
- 15.1.0 – 15.1.8
- 16.1.0 – 16.1.3
- 17.0.0
BIG-IQ の場合、影響を受けるバージョンは次のとおりです。
- 7.1.0
- 8.0.0 – 8.2.0
影響を受けるお客様は、F5 から製品バージョンのエンジニアリング ホットフィックスを要求し、手動でインストールすることをお勧めします。
CVE-2022-41622 を解決するには、ホットフィックスをインストールした後、管理者は iControl SOAP の基本認証も無効にする必要があります。
技術的な詳細が公開されました
脆弱性は 2022年7月にRapid7の研究者によって発見され、2022 年 8 月に F5 に報告されました。
昨日、Rapid7 は、脆弱性の技術的な詳細を開示する欠陥に関する詳細なレポートを公開しました。
「攻撃者は最悪の脆弱性 (CVE-2022-41622) の悪用に成功することで、(管理インターフェイスがインターネットに面していなくても) デバイスの管理インターフェイスへの永続的なルート アクセスを取得できます」と Rapid7 のレポートは説明しています。
ただし、このような攻撃が機能するには、アクティブなセッションを持つ管理者が、BIG-IP の管理に使用されているのと同じブラウザーを使用して、悪意のある Web サイトにアクセスするように誘導される必要があります。
さらに、攻撃者は、管理者に対してクロスサイト リクエスト フォージェリを実行するために、標的の BIG-IP インスタンスのアドレスを知る必要があります。
このため、Rapid7 の研究者である Ron Bowes 氏は、脆弱性が広範囲に悪用される可能性は低いと考えています。
CVE-2022-41800の場合、攻撃者は「リソース管理者」以上の権限で認証される必要があるため、影響はそれほど重大ではありません。
F5 は、Rapid7 によって開示されたいずれかの脆弱性に関連するエクスプロイト インシデントを認識していません。
アナリストは、CVE-2022-41622 の概念実証のエクスプロイトを含む広範な技術的詳細を公開しているため、できるだけ早く脆弱性に対処することが重要です。
重大度の高い 2 つの欠陥とは別に、Rapid7 はいくつかのセキュリティ コントロール (SELinux) バイパス方法も発見しましたが、ベンダーはそれらを実際に悪用できるとは見なしていなかったため、これらは修正されません。
Comments