F5 BIG-IPおよびBIG-IQにおける重大な脆弱性が脆弱なシステムでのリモートコード実行を可能に

2021年3月10日、F5はリモート攻撃者が脆弱なホストを完全に制御するために悪用する可能性がある一連の重大なセキュリティ問題に対応しました。ベンダーによると、4つの重大なバグがBIG-IPおよびBIG-IQ製品に存在し、影響を受けているインスタンスでリモートコード実行（RCE）が可能になります。セキュリティホールの存在は、第1位から第50位にランクされた企業のうち48社がF5の企業ネットワーキングインフラ製品に依存しているため、壊滅的な影響を及ぼす可能性があります。この リスト には、有名なテクノロジーベンダー、政府機関、医療提供者、金融機関、通信企業が含まれています。

F5 BIG-IP、BIG-IQにおける重大な脆弱性

最も緊急かつ厄介な欠陥はCVE-2021-22986とCVE-2021-22987で、それぞれCVSSの重大度スコア9.8と9.9が割り当てられています。最初の問題（CVE-2021-22986）は、iControl RESTインターフェースに存在する未認証のリモートコマンド実行脆弱性です。ハッカーは任意のシステムコマンドを実行し、ファイルを作成/削除し、システムサービスを管理することができます。第二のバグ（CVE-2021-22987）は、トラフィック管理ユーザーインターフェース（TMUI）の誤設定に起因し、アプリケーションモードで実行されている場合、非公開ページでの認証リモートコード実行（RCE）を引き起こします。

残りの2つのF5 BIG-IPおよびBIG-IQの重大なバグ（CVE-2021-22991、CVE-2021-22992）は、トラフィック管理マイクロカーネル（TMM）および高度なWAF/ASM仮想サーバーに起因するバッファオーバーフローの問題です。これらの欠陥はどちらもCVSS 9.0の重大度スコアを受けており、影響を受けたインストールでのリモートコード実行とサービス拒否（DoS）を可能にします。

重大なセキュリティ問題に加え、F5は2つの高重大度（CVE-2021-22988、CVE-2021-22989）および1つの中程度の重大度（CVE-2021-22990）のバグを修正しましたが、これもリモートコード実行を引き起こします。

検出と緩和策

によると、 F5アドバイザリ、4つの重大なホールはBIG-IPバージョン11.6または12.x以降に影響を与え、そのうちの1つはBIG-IQバージョン6.xおよび7.xにも影響します。これらの問題のセキュリティパッチが今週リリースされたので、ユーザーは迅速にアップデートすることを推奨します。

可能なエクスプロイトの試みを検出し、侵入に対するプロアクティブな防御を可能にするため、SOC PrimeチームはThreat Detection Marketplaceで利用可能なSigmaルールのセットをリリースしました。

可能なF5 CVE-2021-22991（Zeek経由）

可能なF5 CVE-2021-22992（Web経由）

私たちのブログに注目し、これらの危険な欠陥に関連するさらなる更新と新たな検出を見逃さないようにしてください。すべての新しい情報と今後のSigmaルールはこの記事に追加されます。

F5は、その製品に非常に危険な欠陥を持つ緊急の修正を行っている世界第2位の企業です。2021年3月の初めに、Microsoftは複数の日ゼロの脆弱性がExchange Serverに影響を与えることに対処しました。これらの欠陥は、Chinaに関連したHafnium APTを含む複数の脅威アクターによって、野生で直ちに悪用されました。SOC Primeチームは、これらの日ゼロ問題に対する迅速な検出とプロアクティブな防御を可能にするSigmaルールのセットをリリースしました。検出のリストは、私たちの専用の ブログ記事で利用可能です。さらに、ルールが追加されました Uncoder.io、このツールはSigmaルールフォーマットを使用しているセキュリティプラットフォームに合わせた脅威検出コンテンツに変換するSOC Primeのツールです。

Threat Detection Marketplaceに登録し、業界初のContent-as-a-Service（CaaS）およびDetection as Codeプラットフォームにより、世界最大の検出と応答ルール、パーサー、検索クエリ、他のキュレーションされたSOCコンテンツのライブラリを集約しています。300人以上の寄稿者が毎日私たちのグローバルライブラリを充実させ、攻撃ライフサイクルの最も早い段階での最も心配なサイバー脅威の継続的な検出を可能にしています。これらの脅威狩猟活動に参加したいですか？ SOC Primeの脅威ボウンティプログラムに参加し、 より安全な未来を実現しましょう！