F5の「BIG-IP」に複数の脆弱性 - ホットフィクスで修正

F5の「BIG-IP」や「BIG-IQ」に脆弱性が明らかとなった。同社ではホットフィクスにて脆弱性へ対処している。

現地時間11月16日に公表したアドバイザリにて、脆弱性「CVE-2022-41622」「CVE-2022-41800」を明らかにしたもの。いずれも重要度は「高（High）」とレーティングされており、同問題へ対処するホットフィクスを用意した。

「CVE-2022-41622」は、「BIG-IP」や「BIG-IQ」のコンポーネント「iControl SOAP」に存在する「クロスサイトリクエストフォージェリ（CSRF）」の脆弱性。ベーシック認証を行った管理者権限を持つユーザーをだますことで、重要な操作を行わせることが可能となる。

また「BIG-IP」のアプライアンスモードにおいてコンポーネント「iControl REST」にコマンドインジェクションの脆弱性「CVE-2022-41800」が判明した。管理者が割り当てられたユーザーは、脆弱性を悪用することでアプライアンスモードの制限を回避できるという。

共通脆弱性評価システム「CVSSv3」のベーススコアは、「CVE-2022-41622」が「8.8」、「CVE-2022-41800」が「8.7」と評価されている。

同社では、いずれもホットフィクスにて脆弱性へ対処しており、ホットフィクスの適用後は「iControl SOAP」におけるベーシック認証を無効にする必要があるとしている。

（Security NEXT - 2022/12/13 ） ツイート

PR

関連記事

脆弱性狙われる「BIG-IP APM」、国内で利用あり - 侵害調査など対応を
「F5 BIG-IP APM」脆弱性の悪用が発生 - 当初発表より深刻なリスク
ウェブサーバ「NGINX」に定例外アドバイザリ - 複数脆弱性を修正
F5「BIG-IP」製品群に複数脆弱性 - DoSなどのおそれ
ウェブサーバ「NGINX」のTLSプロキシ利用時に応答改ざんのおそれ
キヤノン製スモールオフィス向け複合機に複数の深刻な脆弱性
米政府、国家支援攻撃者によるF5侵害受け緊急指令
F5、「BIG-IP」「F5OS」の複数脆弱性に対応 - 最新版へ更新を
キヤノン製「Sateraシリーズ」の一部モデルなどにRCE脆弱性
F5、四半期定例アドバイザリで脆弱性12件に対処