公開日:2020/07/09 最終更新日:2020/07/14

JVNVU#90376702
F5 Networks 製 BIG-IP 製品に複数の脆弱性

概要

F5 Networks が提供する BIG-IP 製品には、複数の脆弱性が存在します。

影響を受けるシステム

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, AWAF, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)

  • 15.0.0 から 15.1.0 まで
  • 14.1.0 から 14.1.2 まで
  • 13.1.0 から 13.1.3 まで
  • 12.1.0 から 12.1.5 まで
  • 11.6.1 から 11.6.5 まで

詳細情報

BIG-IP 製品は、HTTP や DNS といったサービスに対し負荷分散機能を提供しています。
BIG-IP 製品の Web インターフェースである TMUI (Traffic Management User Interface) には、信頼できない第三者からの入力に対する無害化処理に不備があり、認証されていない遠隔の第三者によって、クロスサイトスクリプティング (XSS) やクロスサイトリクエストフォージェリ (CSRF) 、コマンドインジェクション (CWE-74) といった攻撃を受ける可能性があります。
また、当該製品は機微な設定ファイルに対し適切なアクセス制御を施していないため、Secure Copy (SCP) を通じて認証された第三者によって、設定を読み取られたり、ファイルを上書きされたりする可能性があります。この脆弱性は、管理者権限で任意のコードを実行される脆弱性 CVE-2020-0529 として扱われています。

これらの脆弱性の要因として以下が挙げられます。

  • 設定の記載に誤りがありアクセス制御が適切に行われていない(詳細は NCC Group によるレポート記事を参照してください)
  • TMUI では、認証や認可の処理が適切に行われていない(詳細については OWASP のドキュメントを参照してください)
  • TMUI では、ユーザからの入力値が無害化されていない
  • ロール・ベースのアクセス制御のチェックが不十分なため、予期しないファイルアクセスが可能になる

想定される影響

  • TMUI にアクセス可能な認証されていない遠隔の第三者によって、任意のシステムコマンドを実行されたり、ファイルを生成・削除されたり、サービスを無効にされたりする。また、それらの結果として、管理者権限で任意のコードを実行される
  • 認証された第三者によって設定ファイルを変更されるなど、想定外の処理を実行される

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性の対策版として次のバージョンをリリースしています。
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, AWAF, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)

  • 15.1.0.4
  • 14.1.2.6
  • 13.1.3.4
  • 12.1.5.2
  • 11.6.5.2

ワークアラウンドを実施する
開発者は以下の回避策の適用を推奨しています。
  • 当該製品の Self IP を経由した Configuration utility に対するアクセスをすべて遮断する
  • 当該製品の管理インターフェースに対するアクセスを安全なネットワーク経由のみ許可する

ベンダ情報

ベンダ リンク
F5 Networks Inc. K52145254: TMUI RCE vulnerability CVE-2020-5902
K43638305: BIG-IP TMUI XSS vulnerability CVE-2020-5903
K31301245: TMUI CSRF vulnerability CVE-2020-5904
K07051153: TMUI vulnerability CVE-2020-5905
K82518062: BIG-IP SCP vulnerability CVE-2020-5906
K00091341: TMOS Shell privilege escalation vulnerability CVE-2020-5907
K33023560: BIG-IP APM Linux Edge Client logging vulnerability CVE-2020-5908

参考情報

  1. CERT/CC Vulnerability Note VU#290915
    F5 BIG-IP contains multiple vulnerabilities including unauthenticated remote command execution
  2. Proof of concept for CVE-2020-5902
  3. Understanding the root cause of F5 Networks K52145254: TMUI RCE vulnerability CVE-2020-5902 – NCC Group Research

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
基本値: 10.0
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2020-0028
複数の BIG-IP 製品の脆弱性 (CVE-2020-5902) に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-5902
CVE-2020-5903
CVE-2020-5904
CVE-2020-5905
CVE-2020-5906
CVE-2020-5907
CVE-2020-5908
JVN iPedia

更新履歴

2020/07/09
【対策方法】 アップデートに12.1.5.2を追加しました。
2020/07/13
【影響を受けるシステム】に BIG_IP(AWAF, DDHD, SSLO) を追加しました。
2020/07/14
【詳細情報】を更新し、【参考情報】を追加しました。