F5の「BIG-IP」に複数の脆弱性 - ホットフィクスで修正

F5の「BIG-IP」や「BIG-IQ」に脆弱性が明らかとなった。同社ではホットフィクスにて脆弱性へ対処している。

現地時間11月16日に公表したアドバイザリにて、脆弱性「CVE-2022-41622」「CVE-2022-41800」を明らかにしたもの。いずれも重要度は「高（High）」とレーティングされており、同問題へ対処するホットフィクスを用意した。

「CVE-2022-41622」は、「BIG-IP」や「BIG-IQ」のコンポーネント「iControl SOAP」に存在する「クロスサイトリクエストフォージェリ（CSRF）」の脆弱性。ベーシック認証を行った管理者権限を持つユーザーをだますことで、重要な操作を行わせることが可能となる。

また「BIG-IP」のアプライアンスモードにおいてコンポーネント「iControl REST」にコマンドインジェクションの脆弱性「CVE-2022-41800」が判明した。管理者が割り当てられたユーザーは、脆弱性を悪用することでアプライアンスモードの制限を回避できるという。

共通脆弱性評価システム「CVSSv3」のベーススコアは、「CVE-2022-41622」が「8.8」、「CVE-2022-41800」が「8.7」と評価されている。

同社では、いずれもホットフィクスにて脆弱性へ対処しており、ホットフィクスの適用後は「iControl SOAP」におけるベーシック認証を無効にする必要があるとしている。

（Security NEXT - 2022/12/13 ）ツイート