F5の「BIG-IP」に複数の脆弱性 - ホットフィクスで修正

F5の「BIG-IP」や「BIG-IQ」に脆弱性が明らかとなった。同社ではホットフィクスにて脆弱性へ対処している。

現地時間11月16日に公表したアドバイザリにて、脆弱性「CVE-2022-41622」「CVE-2022-41800」を明らかにしたもの。いずれも重要度は「高（High）」とレーティングされており、同問題へ対処するホットフィクスを用意した。

「CVE-2022-41622」は、「BIG-IP」や「BIG-IQ」のコンポーネント「iControl SOAP」に存在する「クロスサイトリクエストフォージェリ（CSRF）」の脆弱性。ベーシック認証を行った管理者権限を持つユーザーをだますことで、重要な操作を行わせることが可能となる。

また「BIG-IP」のアプライアンスモードにおいてコンポーネント「iControl REST」にコマンドインジェクションの脆弱性「CVE-2022-41800」が判明した。管理者が割り当てられたユーザーは、脆弱性を悪用することでアプライアンスモードの制限を回避できるという。

共通脆弱性評価システム「CVSSv3」のベーススコアは、「CVE-2022-41622」が「8.8」、「CVE-2022-41800」が「8.7」と評価されている。

同社では、いずれもホットフィクスにて脆弱性へ対処しており、ホットフィクスの適用後は「iControl SOAP」におけるベーシック認証を無効にする必要があるとしている。

（Security NEXT - 2022/12/13 ） ツイート

PR

関連記事

F5の「BIG-IP」や「NGINX」などに脆弱性 - アップデートを
F5「BIG-IP」に認証バイパスの脆弱性 - ホットフィクスの適用を
米当局、脆弱性悪用リストに「BIG-IP」の脆弱性2件を追加
複数脆弱性によりF5製「BIG-IP」を攻撃 - 痕跡消されるおそれも
Cisco製メールセキュリティ製品にスキャン回避の脆弱性
F5がセキュリティアドバイザリ - 脆弱性7件に対応
米英豪、悪用多い脆弱性トップ30件を公表 - 早急に修正を
F5、「BIG-IP」や「NGINX」関連の複数脆弱性に対処
事前予告で緊張走った「OpenSSL」脆弱性、各社が影響を報告 - 対象製品リストも
米政府、中国関与のサイバー攻撃者が悪用する脆弱性のリストを公開 - 国内製品も