ブログ

REST CVE-2022-1388:
F5 BIG-IP iControl の
アクティブなエクスプロイト

2022年5月9日 | 2分で読める | ロン・ボウズ

最終更新日時: 2022年5月9日(月)17:57:00 GMT

2022年5月4日、F5は、iControl RESTにおいてリモートでのコード実行につながる重大な認証バイパスであるCVE-2022-1388(CVSSv3ベーススコア9.8)を含む複数の脆弱性を列挙したアドバイザリを公開しました。

この脆弱性は、17.0.0より前のBIG-IPの複数の異なるバージョンに影響を及ぼします。

  • F5 BIG-IP 16.1.0 - 16.1.2 (16.1.2.2 でパッチ適用済み)
  • F5 BIG-IP 15.1.0 - 15.1.5 (15.1.5.1 でパッチ適用済み)
  • F5 BIG-IP 14.1.0 - 14.1.4 (14.1.4.6 でパッチ適用済み)
  • F5 BIG-IP 13.1.0 - 13.1.4 (13.1.5でパッチ適用済み)
  • F5 BIG-IP 12.1.0 - 12.1.6 (パッチはありません、修正されません)
  • F5 BIG-IP 11.6.1 - 11.6.5 (パッチはありません、修正されません)

2022年5月9日(月)、Horizon3は完全な概念実証を公開し、我々はこれを実行してroot shellを取得することに成功しました。他のグループも同様にエクスプロイトを開発しています。

ここ数日、BinaryEdgeは、F5 BIG-IPのスキャンと悪用が増加していることを検知しました。また、Twitter上では、悪用の試みも確認されています。この脆弱性の悪用が容易であること、悪用コードが公開されていること、ルートアクセスを提供していることから、悪用の試みは増加すると思われます。

しかし、インターネットに接続されているF5 BIG-IPデバイスの数が少ないため、広範な悪用はいくらか緩和されています。ただし、我々の最善の推測では、インターネット上には約2,500台のターゲットしか存在しません。

緩和に向けたガイダンス

F5 のお客様は、F5 のアップグレード手順を使用して、できるだけ早く BIG-IP デバイスにパッチを適用する必要があります。さらに、F5 BIG-IP デバイス(および類似のアプライアンス)の管理ポートをネットワーク レベルで厳密に制御し、許可されたユーザのみが管理インターフェイスにアクセスできるようにする必要があります。

また、F5 は勧告の一部として回避策を提供しています。パッチ適用やネットワークセグメンテーションが不可能な場合、この回避策により悪用されることを防ぐことができます。私たちは、回避策のみに頼るのではなく、常にパッチを適用することをお勧めします。

エクスプロイトの試みは、少なくとも2つの異なるログファイルに表示されます。

  • /var/log/audit
  • /var/log/restjavad-audit.0.log

この脆弱性はルート侵害であるため、悪用に成功すると、回復が非常に困難になる可能性があります。最低でも、影響を受ける BIG-IP デバイスをゼロから再構築し、証明書とパスワードをローテーションする必要があります。

Rapid7のお客様

InsightVMとNexposeのお客様は、2022年5月5日のコンテンツリリースに含まれる認証済み脆弱性チェックで、CVE-2022-1388への曝露を評価することができます。このリリースには、F5の2022年5月のセキュリティアドバイザリにある追加のCVEに対する認証済み脆弱性チェックも含まれています。

参考資料:

本ブログは英語ブログ、"Active Exploitation of F5 BIT-IP iControl REST CVE-2022-1388" の機械翻訳に基づいています。

Rapid7 InsightVM

脆弱性管理ソリューション

無償トライアル

We’d love to continue the conversation with you, but this page is only available in Japanese.  Would you like to proceed?

Switch to English Continue in Japanese