複数のBIG-IP製品に、攻撃の踏み台にされるなどの脆弱性(JPCERT/CC) | ScanNetSecurity
2020.08.12(水)

複数のBIG-IP製品に、攻撃の踏み台にされるなどの脆弱性(JPCERT/CC)

JPCERT/CCは、「複数の BIG-IP 製品の脆弱性 (CVE-2020-5902) に関する注意喚起」を発表した。

脆弱性と脅威 セキュリティホール・脆弱性
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は7月6日、「複数の BIG-IP 製品の脆弱性 (CVE-2020-5902) に関する注意喚起」を発表した。これは、F5 Networksがセキュリティアドバイザリ「K52145254: TMUI RCE vulnerability CVE-2020-5902」を公開したことを受けたもの。

対象となる製品およびバージョンは次の通り。

・BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM)
 15系のバージョン 15.1.0 および 15.0.0
 14系のバージョン 14.1.0 から 14.1.2 まで
 13系のバージョン 13.1.0 から 13.1.3 まで
 12系のバージョン 12.1.0 から 12.1.5 まで
 11系のバージョン 11.6.1 から 11.6.5 まで

この脆弱性が悪用されると、認証されていない遠隔の第三者が、影響を受ける製品の Traffic Management User Interface (TMUI) 経由で、任意のコードを実行するなどの可能性がある。結果として当該製品が侵害され、攻撃の踏み台などとして悪用される恐れがある。

JPCERT/CCでは、本脆弱性を実証したとするコードの情報や、本脆弱性の影響を受ける機器を探索するスキャン、脆弱性の悪用を試みたと推察される通信の情報を確認している。影響を受ける製品を使用している場合は、速やかに対策を実施するよう推奨している。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

PageTop

特集

アクセスランキング

  1. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  2. IDの登録情報システムに不具合、最大38万件が別ユーザーに上書きされる(ヤフー)

    IDの登録情報システムに不具合、最大38万件が別ユーザーに上書きされる(ヤフー)

  3. 決済サービス用コンピュータに不正アクセスし決済情報を偽る、21歳男性を逮捕(三重県警察)

    決済サービス用コンピュータに不正アクセスし決済情報を偽る、21歳男性を逮捕(三重県警察)

  4. 11拠点のパソコンがEmotet感染、なりすましメールを送信(ネッツトヨタ静岡)

    11拠点のパソコンがEmotet感染、なりすましメールを送信(ネッツトヨタ静岡)

  5. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  6. 不正なログインによりパスワードを無効化したとするAmazon偽メール(フィッシング対策協議会)

    不正なログインによりパスワードを無効化したとするAmazon偽メール(フィッシング対策協議会)

  7. 「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

    「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

  8. 職員のアカウントを踏み台に1,733名に不審メール送信(LINK-J)

    職員のアカウントを踏み台に1,733名に不審メール送信(LINK-J)

  9. 「ゼロトラストNW」「SASE」新規追加、2020年版ハイプサイクル(ガートナー ジャパン)

    「ゼロトラストNW」「SASE」新規追加、2020年版ハイプサイクル(ガートナー ジャパン)

  10. サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

    サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

ランキングをもっと見る