複数のBIG-IP製品の脆弱性に注意喚起、実証したとするコード情報等を確認 | ScanNetSecurity
2022.05.20(金)

複数のBIG-IP製品の脆弱性に注意喚起、実証したとするコード情報等を確認

一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は3月22日、「複数のBIG-IP製品の脆弱性(CVE-2021-22986)に関する注意喚起」を発表した。対象となる製品およびバージョンは次の通り。

脆弱性と脅威 セキュリティホール・脆弱性
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は3月22日、「複数のBIG-IP製品の脆弱性(CVE-2021-22986)に関する注意喚起」を発表した。対象となる製品およびバージョンは次の通り。

BIG-IP(LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 16系のバージョン 16.0.0から16.0.1まで
- 15系のバージョン 15.1.0から15.1.2まで
- 14系のバージョン 14.1.0から14.1.3まで
- 13系のバージョン 13.1.0から13.1.3まで
- 12系のバージョン 12.1.0から12.1.5まで

BIG-IQ Centralized Management
- 7系のバージョン 7.1.0、7.0.0
- 6系のバージョン 6.0.0から6.1.0まで

F5 Networksは現地時間3月10日に、BIG-IP製品の複数の脆弱性に関する情報を公開、脆弱性が悪用されると認証されていない遠隔の第三者が任意のコードを実行するなどの可能性がある。

JPCERT/CCではこれらの脆弱性の内、複数のBIG-IP製品のiControl RESTインタフェースにおける遠隔から任意のコードが実行可能となる脆弱性(CVE-2021-22986)について、本脆弱性を実証したとするコードの情報や、本脆弱性の影響を受ける機器を探索するスキャン、脆弱性の悪用を試みたと推察される通信の情報を確認している。

JPCERT/CCでは、十分なテストを実施の上で、F5 Networksが公開した脆弱性(CVE-2021-22986)を修正済みのバージョンを適用することを検討するよう注意を呼びかけている。また、修正済みのバージョンの適用が難しい場合には、F5 Networksが提示するアクセス制限などの回避策の適用の検討を呼びかけている。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×