JVNVU#90376702
F5 Networks 製 BIG-IP 製品に複数の脆弱性
F5 Networks が提供する BIG-IP 製品には、複数の脆弱性が存在します。
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, AWAF, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 15.0.0 から 15.1.0 まで
- 14.1.0 から 14.1.2 まで
- 13.1.0 から 13.1.3 まで
- 12.1.0 から 12.1.5 まで
- 11.6.1 から 11.6.5 まで
BIG-IP 製品は、HTTP や DNS といったサービスに対し負荷分散機能を提供しています。
BIG-IP 製品の Web インターフェースである TMUI (Traffic Management User Interface) には、信頼できない第三者からの入力に対する無害化処理に不備があり、認証されていない遠隔の第三者によって、クロスサイトスクリプティング (XSS) やクロスサイトリクエストフォージェリ (CSRF) 、コマンドインジェクション (CWE-74) といった攻撃を受ける可能性があります。
また、当該製品は機微な設定ファイルに対し適切なアクセス制御を施していないため、Secure Copy (SCP) を通じて認証された第三者によって、設定を読み取られたり、ファイルを上書きされたりする可能性があります。この脆弱性は、管理者権限で任意のコードを実行される脆弱性 CVE-2020-0529 として扱われています。
これらの脆弱性の要因として以下が挙げられます。
- 設定の記載に誤りがありアクセス制御が適切に行われていない(詳細は NCC Group によるレポート記事を参照してください)
- TMUI では、認証や認可の処理が適切に行われていない(詳細については OWASP のドキュメントを参照してください)
- TMUI では、ユーザからの入力値が無害化されていない
- ロール・ベースのアクセス制御のチェックが不十分なため、予期しないファイルアクセスが可能になる
- TMUI にアクセス可能な認証されていない遠隔の第三者によって、任意のシステムコマンドを実行されたり、ファイルを生成・削除されたり、サービスを無効にされたりする。また、それらの結果として、管理者権限で任意のコードを実行される
- 認証された第三者によって設定ファイルを変更されるなど、想定外の処理を実行される
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性の対策版として次のバージョンをリリースしています。
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, AWAF, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 15.1.0.4
- 14.1.2.6
- 13.1.3.4
- 12.1.5.2
- 11.6.5.2
ワークアラウンドを実施する
開発者は以下の回避策の適用を推奨しています。
- 当該製品の Self IP を経由した Configuration utility に対するアクセスをすべて遮断する
- 当該製品の管理インターフェースに対するアクセスを安全なネットワーク経由のみ許可する
-
CERT/CC Vulnerability Note VU#290915
F5 BIG-IP contains multiple vulnerabilities including unauthenticated remote command execution -
Proof of concept for CVE-2020-5902
-
Understanding the root cause of F5 Networks K52145254: TMUI RCE vulnerability CVE-2020-5902 – NCC Group Research
攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
---|---|---|---|---|
攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
スコープ(S) | 変更なし (U) | 変更あり (C) | ||
機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
JPCERT 緊急報告 |
JPCERT-AT-2020-0028 複数の BIG-IP 製品の脆弱性 (CVE-2020-5902) に関する注意喚起 |
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2020-5902 |
CVE-2020-5903 |
|
CVE-2020-5904 |
|
CVE-2020-5905 |
|
CVE-2020-5906 |
|
CVE-2020-5907 |
|
CVE-2020-5908 |
|
JVN iPedia |
|
- 2020/07/09
- 【対策方法】 アップデートに12.1.5.2を追加しました。
- 2020/07/13
- 【影響を受けるシステム】に BIG_IP(AWAF, DDHD, SSLO) を追加しました。
- 2020/07/14
- 【詳細情報】を更新し、【参考情報】を追加しました。