複数脆弱性によりF5製「BIG-IP」を攻撃 - 痕跡消されるおそれも

F5が提供するネットワーク製品「BIG-IP」に認証をバイパスできる深刻な脆弱性「CVE-2023-46747」が明らかとなった問題で、別の脆弱性を組み合わせた攻撃が発生していることがわかった。侵害されている可能性も考慮し、対処するよう同社は呼びかけている。

同社によると、「CVE-2023-46747」と「構成ユーティリティ」において任意のシステムコマンドを実行することが可能となる「SQLインジェクション」の脆弱性「CVE-2023-46748」を組み合わせた攻撃が確認されたもの。

F5では、10月27日にこれら脆弱性に関するセキュリティアドバイザリを公開。「BIG-IP 17」「同16」「同15」「同14」「同13」向けに脆弱性を修正するホットフィクスをリリースした。特に「CVE-2023-46747」に関しては、共通脆弱性評価システム「CVSSv3.1」のベーススコアが「9.8」、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。

F5では、現地時間10月30日にセキュリティアドバイザリを更新。侵害された機器において脆弱性が悪用された痕跡を実際に確認したことを明らかにした。

「CVE-2023-46748」は、悪用にあたり認証が必要となることから、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.8」、重要度は1段階低い「高（High）」と評価しているが、「CVE-2023-46747」と組み合わせることで認証をバイパスして攻撃を実現していたという。

（Security NEXT - 2023/10/31 ） ツイート

PR

関連記事

先週注目された記事（2026年6月7日〜2026年6月13日）
「Oracle PeopleSoft」脆弱性、ランサム攻撃にも悪用 - 米当局が注意喚起
利用者の電話番号含む業務用携帯を紛失 - 地生いなわしろ
研究室端末でランサム被害、手術動画が流出か - 九大
学校向けネット写真サービスで個人情報流出
サポート詐欺被害で患者情報流出の可能性 - 藤医大病院
宿泊予約者にフィッシングメッセージ - 琵琶湖ホテル
アジア競技大会のグッズ販売フォームで設定ミス - 名古屋市
5月下旬以降、「PeopleSoft」にゼロデイ攻撃 - 対策と侵害有無の調査を
Oracle「PeopleSoft」に深刻なRCE脆弱性 - ただちに対応を