米当局、脆弱性悪用リストに「BIG-IP」の脆弱性2件を追加

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、現地時間10月31日にF5の「BIG-IP」に明らかとなった脆弱性2件を「悪用が確認された脆弱性カタログ（KEV）」へ追加した。

「BIG-IP」に関しては、「構成ユーティリティ」において認証をバイパスできる深刻な脆弱性「CVE-2023-46747」と、SQLインジェクションの脆弱性「CVE-2023-46748」に関するセキュリティアドバイザリが現地時間10月27日に公開されている。

「CVE-2023-46748」を悪用するには認証が必要だが、「CVE-2023-46747」を組み合わせることで認証をバイパスし、任意のシステムコマンドを実行することが可能。

同リストに追加された脆弱性は、米行政機関において一定期間内に対応する義務が生じる。追加された脆弱性そのものは広く悪用される可能性があるため、利用者は注意が必要となる。

F5ではこれら脆弱性に関連し、脆弱性が悪用された場合にログファイルに残る痕跡を紹介する一方、すべての攻撃で同じ痕跡が残るとは限らず、攻撃者によって痕跡を削除されることもあると説明している。

侵害を受けていないことに確証がない場合は、デバイスが侵害されているものと考え、対処する必要があるとして利用者に注意を呼びかけている。

（Security NEXT - 2023/11/02 ） ツイート

PR

関連記事

奨学金貸付関連の個人情報含む書類が所在不明 - 茂原市
「Firefox 147」を公開、脆弱性16件を修正 - 「クリティカル」も
米当局、悪用が確認されたWindows「DWM」の脆弱性に注意喚起
笹だんご通販サイトの不正アクセス - 影響範囲が判明
「FortiSIEM」にクリティカル脆弱性 - 未認証RCEのおそれ
「FortiOS」にバッファオーバーフローの脆弱性 - アップデートで修正
「Adobe ColdFusion」に緊急性高いRCE脆弱性 - 依存関係に起因
Google、「Chrome 144」をリリース - 脆弱性10件を解消
2026年最初のMS月例パッチが公開 - ゼロデイ含む脆弱性114件に対応
MS、2025年最後の月例パッチ - ゼロデイ含む脆弱性56件に対処