2023年10月27日(現地時間)、F5 NetworksはBIG-IP Configuration utilityの認証されていないリモートコード実行の脆弱性(CVE-2023-46747)に関する情報を公開しました。本脆弱性が悪用された場合、遠隔の第三者が管理ポートやSelf-IPを介してBIG-IPシステムにアクセスし、任意のシステムコマンドを実行できる可能性があります。
F5 Networks
K000137353: BIG-IP Configuration utility unauthenticated remote code execution vulnerability CVE-2023-46747
https://my.f5.com/manage/s/article/K000137353
2023年10月26日(現地時間)、本脆弱性を発見および報告したPraetorian Security社が、脆弱性について解説する記事を公開しており、今後、脆弱性の詳細についても公開すると明らかにしています。
Praetorian Security
Technical Advisory: F5 BIG-IP Unauthenticated RCE Vulnerability, CVE-2023-46747
https://www.praetorian.com/blog/advisory-f5-big-ip-rce/
Refresh: Compromising F5 BIG-IP With Request Smuggling | CVE-2023-46747
https://www.praetorian.com/blog/refresh-compromising-f5-big-ip-with-request-smuggling-cve-2023-46747/
今後、本脆弱性の詳細や実証コード(PoC)が公開されると、脆弱性を悪用する攻撃が広く行われる可能性があります。当該製品を利用している場合、対策あるいは回避策の適用を検討いただくことを推奨します。
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp