米当局、脆弱性悪用リストに「BIG-IP」の脆弱性2件を追加

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、現地時間10月31日にF5の「BIG-IP」に明らかとなった脆弱性2件を「悪用が確認された脆弱性カタログ（KEV）」へ追加した。

「BIG-IP」に関しては、「構成ユーティリティ」において認証をバイパスできる深刻な脆弱性「CVE-2023-46747」と、SQLインジェクションの脆弱性「CVE-2023-46748」に関するセキュリティアドバイザリが現地時間10月27日に公開されている。

「CVE-2023-46748」を悪用するには認証が必要だが、「CVE-2023-46747」を組み合わせることで認証をバイパスし、任意のシステムコマンドを実行することが可能。

同リストに追加された脆弱性は、米行政機関において一定期間内に対応する義務が生じる。追加された脆弱性そのものは広く悪用される可能性があるため、利用者は注意が必要となる。

F5ではこれら脆弱性に関連し、脆弱性が悪用された場合にログファイルに残る痕跡を紹介する一方、すべての攻撃で同じ痕跡が残るとは限らず、攻撃者によって痕跡を削除されることもあると説明している。

侵害を受けていないことに確証がない場合は、デバイスが侵害されているものと考え、対処する必要があるとして利用者に注意を呼びかけている。

（Security NEXT - 2023/11/02 ） ツイート

PR

関連記事

「macOS」にセキュリティアップデート - 複数脆弱性を修正した。
米当局、「Chromium」の脆弱性悪用に警鐘 - 派生ブラウザでも注意を
前回から4日、「Chrome」に再度アップデート - 今回もゼロデイ脆弱性を修正
Apple、「iOS 17.5」などスマートデバイス向けにアップデートを公開
シンポジウム案内メール誤送信、メアド流出 - 会津若松市
「Triton Inference Server」や「ChatRTX」の脆弱性を修正 - NVIDIA
チーム医療の書類を一時紛失、駅ビルで拾得 - 横市大付属病院
WordPress向け学習管理プラグインにSQLインジェクションの脆弱性
都内中小企業を対象としたセキュ対策助成金の募集がスタート
ランサムウェア「Black Basta」に注意 - 500超の組織で被害、医療機関も