米当局、脆弱性悪用リストに「BIG-IP」の脆弱性2件を追加

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、現地時間10月31日にF5の「BIG-IP」に明らかとなった脆弱性2件を「悪用が確認された脆弱性カタログ（KEV）」へ追加した。

「BIG-IP」に関しては、「構成ユーティリティ」において認証をバイパスできる深刻な脆弱性「CVE-2023-46747」と、SQLインジェクションの脆弱性「CVE-2023-46748」に関するセキュリティアドバイザリが現地時間10月27日に公開されている。

「CVE-2023-46748」を悪用するには認証が必要だが、「CVE-2023-46747」を組み合わせることで認証をバイパスし、任意のシステムコマンドを実行することが可能。

同リストに追加された脆弱性は、米行政機関において一定期間内に対応する義務が生じる。追加された脆弱性そのものは広く悪用される可能性があるため、利用者は注意が必要となる。

F5ではこれら脆弱性に関連し、脆弱性が悪用された場合にログファイルに残る痕跡を紹介する一方、すべての攻撃で同じ痕跡が残るとは限らず、攻撃者によって痕跡を削除されることもあると説明している。

侵害を受けていないことに確証がない場合は、デバイスが侵害されているものと考え、対処する必要があるとして利用者に注意を呼びかけている。

（Security NEXT - 2023/11/02 ）ツイート