JPCERT コーディネーションセンター

複数のBIG-IP製品の脆弱性(CVE-2021-22986)に関する注意喚起

各位

JPCERT-AT-2021-0014
JPCERT/CC
2021-03-22

JPCERT/CC Alert 2021-03-22


複数のBIG-IP製品の脆弱性(CVE-2021-22986)に関する注意喚起

https://www.jpcert.or.jp/at/2021/at210014.html


I. 概要2021年3月10日(現地時間)、F5 NetworksからBIG-IP製品の複数の脆弱性に関する情報が公開されました。脆弱性が悪用されると、認証されていない遠隔の第三者が任意のコードを実行するなどの可能性があります。

F5 Networks
K02566623: Overview of F5 vulnerabilities (March 2021)
https://support.f5.com/csp/article/K02566623

これらの脆弱性の内、複数のBIG-IP製品のiControl RESTインタフェースにおける遠隔から任意のコードが実行可能となる脆弱性(CVE-2021-22986)について、JPCERT/CCは、本脆弱性を実証したとするコードの情報や、本脆弱性の影響を受ける機器を探索するスキャン、脆弱性の悪用を試みたと推察される通信の情報を確認しています。本脆弱性の影響を受ける製品を使用している場合は、速やかに対策を実施することを推奨いたします。詳細は、F5 Networksが提供する情報を確認してください。

F5 Networks
K03009991: iControl REST unauthenticated remote command execution vulnerability CVE-2021-22986
https://support.f5.com/csp/article/K03009991


II. 対象脆弱性(CVE-2021-22986)の影響を受ける対象となる製品およびバージョンは次のとおりです。詳細は、F5 Networksが提供する情報を確認してください。

BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 16系のバージョン 16.0.0から16.0.1まで
- 15系のバージョン 15.1.0から15.1.2まで
- 14系のバージョン 14.1.0から14.1.3まで
- 13系のバージョン 13.1.0から13.1.3まで
- 12系のバージョン 12.1.0から12.1.5まで

BIG-IQ Centralized Management
- 7系のバージョン 7.1.0、7.0.0
- 6系のバージョン 6.0.0から6.1.0まで


III. 対策F5 Networksから脆弱性(CVE-2021-22986)を修正したバージョンが公開されています。十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。

BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 16.0.1.1
- 15.1.2.1
- 14.1.4
- 13.1.3.6
- 12.1.5.3

BIG-IQ Centralized Management
- 8.0.0
- 7.1.0.3、7.0.0.2

また、脆弱性の影響を緩和する方法として、F5 Networksはアクセス制限などの回避策を提示しています。修正済みのバージョンの適用が難しい場合は、回避策の適用もご検討ください。


IV. 関連情報本脆弱性を悪用した攻撃をすでに受けているか確認する方法について、NCCGroupから情報が公開されており、同製品のauditログを確認する方法が紹介されています。

NCC Group
RIFT: Detection capabilities for recent F5 BIG-IP/BIG-IQ iControl REST API vulnerabilities CVE-2021-22986
https://research.nccgroup.com/2021/03/18/rift-detection-capabilities-for-recent-f5-big-ip-big-iq-icontrol-rest-api-vulnerabilities-cve-2021-22986/


V. 参考情報
F5 Networks
K04532512: Frequently asked questions for CVE-2021-22986, CVE-2021-22987, CVE-2021-22988, CVE-2021-22989, and CVE-2021-22990
https://support.f5.com/csp/article/K04532512


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。

==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
Topへ
最新情報(RSSメーリングリストTwitter