複数のBIG-IP製品に、攻撃の踏み台にされるなどの脆弱性(JPCERT/CC) | ScanNetSecurity
2021.05.16(日)

複数のBIG-IP製品に、攻撃の踏み台にされるなどの脆弱性(JPCERT/CC)

JPCERT/CCは、「複数の BIG-IP 製品の脆弱性 (CVE-2020-5902) に関する注意喚起」を発表した。

脆弱性と脅威 セキュリティホール・脆弱性
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は7月6日、「複数の BIG-IP 製品の脆弱性 (CVE-2020-5902) に関する注意喚起」を発表した。これは、F5 Networksがセキュリティアドバイザリ「K52145254: TMUI RCE vulnerability CVE-2020-5902」を公開したことを受けたもの。

対象となる製品およびバージョンは次の通り。

・BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM)
 15系のバージョン 15.1.0 および 15.0.0
 14系のバージョン 14.1.0 から 14.1.2 まで
 13系のバージョン 13.1.0 から 13.1.3 まで
 12系のバージョン 12.1.0 から 12.1.5 まで
 11系のバージョン 11.6.1 から 11.6.5 まで

この脆弱性が悪用されると、認証されていない遠隔の第三者が、影響を受ける製品の Traffic Management User Interface (TMUI) 経由で、任意のコードを実行するなどの可能性がある。結果として当該製品が侵害され、攻撃の踏み台などとして悪用される恐れがある。

JPCERT/CCでは、本脆弱性を実証したとするコードの情報や、本脆弱性の影響を受ける機器を探索するスキャン、脆弱性の悪用を試みたと推察される通信の情報を確認している。影響を受ける製品を使用している場合は、速やかに対策を実施するよう推奨している。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

PageTop

特集

アクセスランキング

  1. 日本で最もセキュリティを大切にする大手通販が経験者採用中 ~ ジャパネットセキュリティ担当者座談会 5/18、6/8(火)19時開催

    日本で最もセキュリティを大切にする大手通販が経験者採用中 ~ ジャパネットセキュリティ担当者座談会 5/18、6/8(火)19時開催PR

  2. WordPressの脆弱性突きサイト改ざん、レンタルサーバがWPの最新バージョンに適応できず

    WordPressの脆弱性突きサイト改ざん、レンタルサーバがWPの最新バージョンに適応できず

  3. 銀行130社ドメインアカウントの漏えい調査、2008から2020年で累計7,978件

    銀行130社ドメインアカウントの漏えい調査、2008から2020年で累計7,978件

  4. Salesforce 複数サービスで障害発生、約 5 時間で全システム復旧

    Salesforce 複数サービスで障害発生、約 5 時間で全システム復旧

  5. セキュアイノベーション、エンジニア育成にGSX提供「セキュリスト(SecuriST)認定脆弱性診断士 公式トレーニング」活用

    セキュアイノベーション、エンジニア育成にGSX提供「セキュリスト(SecuriST)認定脆弱性診断士 公式トレーニング」活用

  6. 神奈川銀行で2018年5月から計39回の誤送信、業務提携先からの連絡で行内点検し発覚

    神奈川銀行で2018年5月から計39回の誤送信、業務提携先からの連絡で行内点検し発覚

  7. ランサムウェアの身代金支払いで反社への資金供与システムと化すサイバー保険産業

    ランサムウェアの身代金支払いで反社への資金供与システムと化すサイバー保険産業

  8. クラウド型システムの設定不備による茨木市公式アプリ「いばライフ」への不正アクセス、調査結果を発表

    クラウド型システムの設定不備による茨木市公式アプリ「いばライフ」への不正アクセス、調査結果を発表

  9. 誤送信で佛教大学研究者と研究課題の関係者、取引先の個人情報が流出

    誤送信で佛教大学研究者と研究課題の関係者、取引先の個人情報が流出

  10. 岡野バルブ製造のグループシステムへサイバー攻撃、ランサムウェアに感染

    岡野バルブ製造のグループシステムへサイバー攻撃、ランサムウェアに感染

ランキングをもっと見る