各位
複数の BIG-IP 製品の脆弱性 (CVE-2020-5902) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200028.html
I. 概要2020年7月1日 (現地時間)、F5 Networks から複数の BIG-IP 製品の脆弱性(CVE-2020-5902) に関する情報が公開されました。脆弱性が悪用されると、認証されていない遠隔の第三者が、影響を受ける製品の Traffic ManagementUser Interface (TMUI) 経由で、任意のコードを実行するなどの可能性があります。結果として、当該製品が侵害され、攻撃の踏み台などとして悪用される恐れがあります。詳細は、F5 Networks が提供する情報を確認してください。
F5 Networks
K52145254: TMUI RCE vulnerability CVE-2020-5902
https://support.f5.com/csp/article/K52145254
また、JPCERT/CC は、本脆弱性を実証したとするコードの情報や、本脆弱性の影響を受ける機器を探索するスキャン、脆弱性の悪用を試みたと推察される通信の情報を確認しています。影響を受ける製品を使用している場合は、速やかに対策を実施することを推奨いたします。
** 更新: 2020年7月14日追記 ****************
F5 Networks のアドバイザリが更新されたため、「II. 対象」や「III. 対策」の情報を更新しました。最新の情報や詳細は、F5 Networks が提供する情報を参照してください。
また、本脆弱性を悪用した侵害有無を確認する際の参考となる情報が F5Networks から提供されています。本脆弱性の探索あるいは悪用を試みる活動に関する情報が継続して確認されている状況のため、速やかな対策の実施に加え、侵害有無の確認や侵害内容の調査を実施することが推奨されます。上記URL のアドバイザリや下記の情報を参考にしてください。
F5 Networks
K11438344: Considerations and guidance when you suspect a security compromise on a BIG-IP system
https://support.f5.com/csp/article/K11438344
**************************************************
II. 対象対象となる製品およびバージョンは次のとおりです。詳細は、F5 Networks が提供する情報を確認してください。
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, AWAF, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 15系のバージョン 15.0.0 から 15.1.0 まで
- 14系のバージョン 14.1.0 から 14.1.2 まで
- 13系のバージョン 13.1.0 から 13.1.3 まで
- 12系のバージョン 12.1.0 から 12.1.5 まで
- 11系のバージョン 11.6.1 から 11.6.5 まで
III. 対策F5 Networks から脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, AWAF, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 15.1.0.4
- 14.1.2.6
- 13.1.3.4
- 12.1.5.2
- 11.6.5.2
また、脆弱性の影響を緩和する方法として、F5 Networks はアクセス制限などの回避策を提示しています。修正済みのバージョンの適用が難しい場合は、回避策の適用もご検討ください。
IV. 参考情報
PT Security
F5 fixes critical vulnerability discovered by Positive Technologies in BIG-IP application delivery controller
https://www.ptsecurity.com/ww-en/about/news/f5-fixes-critical-vulnerability-discovered-by-positive-technologies-in-big-ip-application-delivery-controller/
SANS ISC InfoSec Forums
CVE-2020-5902 F5 BIG-IP Exploitation Attempt
https://isc.sans.edu/diary/rss/26310
NCC Group
RIFT: F5 Networks K52145254: TMUI RCE vulnerability CVE-2020-5902 Intelligence
https://research.nccgroup.com/2020/07/05/rift-f5-networks-k52145254-tmui-rce-vulnerability-cve-2020-5902-intelligence/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
________
改訂履歴
2020-07-06 初版
2020-07-14 「I. 概要」、「II. 対象」、「III. 対策」、「IV. 参考情報」の更新
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp
JPCERT-AT-2020-0028
JPCERT/CC
2020-07-06(新規)
2020-07-14(更新)
JPCERT/CC Alert 2020-07-06
複数の BIG-IP 製品の脆弱性 (CVE-2020-5902) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200028.html
I. 概要2020年7月1日 (現地時間)、F5 Networks から複数の BIG-IP 製品の脆弱性(CVE-2020-5902) に関する情報が公開されました。脆弱性が悪用されると、認証されていない遠隔の第三者が、影響を受ける製品の Traffic ManagementUser Interface (TMUI) 経由で、任意のコードを実行するなどの可能性があります。結果として、当該製品が侵害され、攻撃の踏み台などとして悪用される恐れがあります。詳細は、F5 Networks が提供する情報を確認してください。
F5 Networks
K52145254: TMUI RCE vulnerability CVE-2020-5902
https://support.f5.com/csp/article/K52145254
また、JPCERT/CC は、本脆弱性を実証したとするコードの情報や、本脆弱性の影響を受ける機器を探索するスキャン、脆弱性の悪用を試みたと推察される通信の情報を確認しています。影響を受ける製品を使用している場合は、速やかに対策を実施することを推奨いたします。
** 更新: 2020年7月14日追記 ****************
F5 Networks のアドバイザリが更新されたため、「II. 対象」や「III. 対策」の情報を更新しました。最新の情報や詳細は、F5 Networks が提供する情報を参照してください。
また、本脆弱性を悪用した侵害有無を確認する際の参考となる情報が F5Networks から提供されています。本脆弱性の探索あるいは悪用を試みる活動に関する情報が継続して確認されている状況のため、速やかな対策の実施に加え、侵害有無の確認や侵害内容の調査を実施することが推奨されます。上記URL のアドバイザリや下記の情報を参考にしてください。
F5 Networks
K11438344: Considerations and guidance when you suspect a security compromise on a BIG-IP system
https://support.f5.com/csp/article/K11438344
**************************************************
II. 対象対象となる製品およびバージョンは次のとおりです。詳細は、F5 Networks が提供する情報を確認してください。
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, AWAF, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 15系のバージョン 15.0.0 から 15.1.0 まで
- 14系のバージョン 14.1.0 から 14.1.2 まで
- 13系のバージョン 13.1.0 から 13.1.3 まで
- 12系のバージョン 12.1.0 から 12.1.5 まで
- 11系のバージョン 11.6.1 から 11.6.5 まで
III. 対策F5 Networks から脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, AWAF, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 15.1.0.4
- 14.1.2.6
- 13.1.3.4
- 12.1.5.2
- 11.6.5.2
また、脆弱性の影響を緩和する方法として、F5 Networks はアクセス制限などの回避策を提示しています。修正済みのバージョンの適用が難しい場合は、回避策の適用もご検討ください。
IV. 参考情報
PT Security
F5 fixes critical vulnerability discovered by Positive Technologies in BIG-IP application delivery controller
https://www.ptsecurity.com/ww-en/about/news/f5-fixes-critical-vulnerability-discovered-by-positive-technologies-in-big-ip-application-delivery-controller/
SANS ISC InfoSec Forums
CVE-2020-5902 F5 BIG-IP Exploitation Attempt
https://isc.sans.edu/diary/rss/26310
NCC Group
RIFT: F5 Networks K52145254: TMUI RCE vulnerability CVE-2020-5902 Intelligence
https://research.nccgroup.com/2020/07/05/rift-f5-networks-k52145254-tmui-rce-vulnerability-cve-2020-5902-intelligence/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
________
改訂履歴
2020-07-06 初版
2020-07-14 「I. 概要」、「II. 対象」、「III. 対策」、「IV. 参考情報」の更新
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp