脅威リサーチ

F5の重大な脆弱性への対策

投稿者 FortiGuard Labs | 2021年3月25日

FortiGuard Labs Threat Update

FortiGuard Labsは、アプリケーションアベイラビリティ、アクセスコントロール、およびセキュリティソリューションであるF5 BIG-IP/BIG-IQファミリーにおいて、最近明らかになった欠陥に脆弱なデバイスをスキャンして見つけ出そうとする世界中の攻撃者の活動を積極的に監視しています。さらに、これらの脆弱性を悪用するための新たなPoCコードが既知のサイトに投稿されている事例を複数確認しており、パッチを迅速に適用する必要性がさらに高まっています。

F5 BIG-IPは、ロードバランシングやWebトラフィックの目的地への移動を容易にするために使用されるアプリケーションデリバリーコントローラ(ADC)であり、BIG-IQは、F5のアプリケーションデリバリーおよびセキュリティポートフォリオの健全性、パフォーマンス、可用性を分析するための集中管理を提供します。

2021年3月10日に公開されたF5 のセキュリティアドバイザリでは、21件の脆弱性が確認されました。そのうち、以下の4つの脆弱性がF5によって「クリティカル」と認定されました。

CVE-2021-22987 (重大度 クリティカル - CVSS スコア: 9.9)
CVE-2021-22986 (重大度 クリティカル - CVSS スコア: 9.8)
CVE-2021-22991 (重大度 高 - CVSS スコア: 9.0)
CVE-2021-22992 (重大度 高 - CVSS スコア: 9.0)

F5の脆弱性に関する技術的詳細

現時点では、CVE-2021-22986のみが活発に悪用されていることが確認されています。しかし、現在投稿されている新しいPoCの数を考えると、この状況は変わる可能性があります。

ここでは、4つの最も重要な脆弱性のそれぞれについて、基本的な技術的概要を説明します。

CVE-2021-22986 (iControl REST の認証されていないリモートコマンド実行の脆弱性)

この脆弱性により、認証されていないユーザが、脆弱なアプライアンスに対してリモートでコマンドを実行することができます。認証されていない攻撃者は、任意のシステムコマンドを実行したり、ファイルを作成または削除したり、サービスを無効にしたりすることができ、最終的にはシステム全体が危険にさらされます。最終的に、パッチが適用されていないシステムは、攻撃者に完全にコントロールされる可能性があります。このアプライアンスが侵害されると、攻撃者はアプライアンスを完全に制御できるようになるだけでなく、脆弱性を足がかりにして後からアクセスできるようになり、認証情報の流出、サービスの妨害、最終的にはコマンド実行によるランサムウェアなどのマルウェアの被害者ネットワーク上の脆弱なマシンへの配信など、さらなる被害を引き起こすことが可能になります。

CVE-2021-22987 (アプライアンスモードのTMUIの認証されたリモートコマンド実行の脆弱性)

この脆弱性により、BIG-IP管理ポートまたは自己のIPアドレスを介して設定ユーティリティにネットワークアクセスできる認証済みのユーザが、任意のシステムコマンドの実行、ファイルの作成または削除、サービスの無効化を行うことができます。この脆弱性は、コントロールプレーンからのみ悪用でき、データプレーンからは悪用できません。この脆弱性を利用すると、システムが完全に侵害され、 アプライアンスモードが解除される可能性があります。

CVE-2021-22991 (TMM バッファオーバーフローの脆弱性)

このバッファオーバーフローの脆弱性は、Traffic Management Microkernel (TMM) に存在し、仮想サーバーへの非公開のリクエストが正しく処理されない可能性があります。これにより、バッファオーバーフローが発生し、DoS 攻撃を受ける可能性があります。

CVE-2021-22992 (Advanced WAF/ASM のバッファオーバーフローの脆弱性)

ログインページがポリシーに設定されている Advanced WAF/ASM の仮想サーバーに対する悪意のある HTTP レスポンスにより、バッファオーバーフローが発生し、DoS 攻撃を受ける可能性があります。また、特定の状況下では、リモートコード実行 (RCE) が可能となり、システムが完全に侵害される可能性があります。

F5に関する勧告

CISAの通知

米国のCybersecurity and Infrastructure Agency (CISA) は、BIG-IPおよびBIG-IQを導入している組織に対し、CVE-2021-22986 および CVE-2021-22987で見つかった脆弱性に直ちに対処するよう求めています。

F5の対応策

F5は、すべてのお客様が2021年3月のアップデートから利用可能なすべてのパッチを直ちに適用することを推奨しています。2021年3月10日に21の脆弱性すべてに対するパッチがリリースされました。追加情報は、F5が2021年3月17日に発表しました。

フォーティネットの保護

FortiGate IPS

現在の(IPS) 定義を実行しているお客様は、以下により保護されています。

CVE-2021-22986 – "F5.iControl.REST.Interface.Remote.Command.Execution"
CVE-2021-22991 – "F5.BIG.IP.TMM.URI.Normalization.Buffer.Overflow"
CVE-2021-22992 – "F5.BIG.IP.ASM.HTTP.Response.Header.Buffer.Overflow"
CVE-2021-22987 –  CVE-2021-22987については、詳細が不明なため、現時点では対象外としています。この脆弱性の減災策については「K04532512: Frequently asked questions for CVE-2021-22986, CVE-2021-22987, CVE-2021-22988, CVE-2021-22989, and CVE-2021-22990」と題されたF5のウェブページをご覧ください。

F5では、パッチが適用できないCVEに対しては、以下のような一時的な減災策を推奨しています。

自己のIPアドレスからのiControl RESTアクセスをブロックする。
管理インターフェイスからのiControl RESTアクセスをブロックする。

FortiGuard Labs

日常業務や企業の評判にダメージを与える可能性があり、また、データの望まない公開や業務の中断の可能性もあります。そのため、フォーティネットのお客様は、すべてのAVおよびIPSのシグネチャを最新の状態に保つことが重要です。また、攻撃者がネットワーク内に足場を築くのを防ぐために、組織内のすべての既知のベンダーの脆弱性が利用可能になった時点で対処し、定期的に更新することも重要です。

FortiGuard Labsは、このイベントに関連する公開されたPoCコードを継続的に探しています。続報が入り次第、この脅威リサーチブログやFortiGuard Labsの脅威シグナルを更新していきます。