米当局、脆弱性悪用リストに「BIG-IP」の脆弱性2件を追加

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、現地時間10月31日にF5の「BIG-IP」に明らかとなった脆弱性2件を「悪用が確認された脆弱性カタログ（KEV）」へ追加した。

「BIG-IP」に関しては、「構成ユーティリティ」において認証をバイパスできる深刻な脆弱性「CVE-2023-46747」と、SQLインジェクションの脆弱性「CVE-2023-46748」に関するセキュリティアドバイザリが現地時間10月27日に公開されている。

「CVE-2023-46748」を悪用するには認証が必要だが、「CVE-2023-46747」を組み合わせることで認証をバイパスし、任意のシステムコマンドを実行することが可能。

同リストに追加された脆弱性は、米行政機関において一定期間内に対応する義務が生じる。追加された脆弱性そのものは広く悪用される可能性があるため、利用者は注意が必要となる。

F5ではこれら脆弱性に関連し、脆弱性が悪用された場合にログファイルに残る痕跡を紹介する一方、すべての攻撃で同じ痕跡が残るとは限らず、攻撃者によって痕跡を削除されることもあると説明している。

侵害を受けていないことに確証がない場合は、デバイスが侵害されているものと考え、対処する必要があるとして利用者に注意を呼びかけている。

（Security NEXT - 2023/11/02 ） ツイート

PR

関連記事

ワイン通販サイトに不正アクセス - 個人情報流出の可能性
Google、ブラウザ最新版「Chrome 120」を公開 - 脆弱性を解消
「Apache Struts」にアップデート - 「クリティカル」の脆弱性に対応
「Qlik Sense Enterprise」の脆弱性が標的に - ランサム攻撃でも
「経産省サイバーセキュリティ課」をかたる偽電話が急増
申込フォームで個人情報が閲覧可能に - 大阪市コミュニティ協会
Windows向けのバイナリエディタ「Frhed」に脆弱性
学習支援システムから学生情報が流出した可能性 - 名古屋芸大
合併金融機関との口座番号対照表を紛失 - 武蔵野銀
ランサム感染で障害、システム図面などが流出 - レスターHD