Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

F5の「BIG-IP」に複数の脆弱性 - ホットフィクスで修正

F5の「BIG-IP」や「BIG-IQ」に脆弱性が明らかとなった。同社ではホットフィクスにて脆弱性へ対処している。

現地時間11月16日に公表したアドバイザリにて、脆弱性「CVE-2022-41622」「CVE-2022-41800」を明らかにしたもの。いずれも重要度は「高(High)」とレーティングされており、同問題へ対処するホットフィクスを用意した。

「CVE-2022-41622」は、「BIG-IP」や「BIG-IQ」のコンポーネント「iControl SOAP」に存在する「クロスサイトリクエストフォージェリ(CSRF)」の脆弱性。ベーシック認証を行った管理者権限を持つユーザーをだますことで、重要な操作を行わせることが可能となる。

また「BIG-IP」のアプライアンスモードにおいてコンポーネント「iControl REST」にコマンドインジェクションの脆弱性「CVE-2022-41800」が判明した。管理者が割り当てられたユーザーは、脆弱性を悪用することでアプライアンスモードの制限を回避できるという。

共通脆弱性評価システム「CVSSv3」のベーススコアは、「CVE-2022-41622」が「8.8」、「CVE-2022-41800」が「8.7」と評価されている。

同社では、いずれもホットフィクスにて脆弱性へ対処しており、ホットフィクスの適用後は「iControl SOAP」におけるベーシック認証を無効にする必要があるとしている。

(Security NEXT - 2022/12/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

事前予告で緊張走った「OpenSSL」脆弱性、各社が影響を報告 - 対象製品リストも
米政府、中国関与のサイバー攻撃者が悪用する脆弱性のリストを公開 - 国内製品も
F5、8月のセキュリティパッチを公開 - 「BIG-IP」などの脆弱性に対処
F5製「BIG-IP」脆弱性、悪用容易 - 侵害有無の確認を
「BIG-IP」脆弱性に注意 - 実証コード公開済み、探索や悪用も
「BIG-IP」などF5の複数製品に脆弱性 - 重要度「クリティカル」も
F5がセキュリティアップデート - 脆弱性25件を修正
中国Hikvision製の防犯カメラにRCE脆弱性 - 発見者「バックドアではない」との見解
米英豪、悪用多い脆弱性トップ30件を公表 - 早急に修正を
JPCERT/CC、F5「BIG-IP」の脆弱性で注意喚起