複数のBIG-IP製品の脆弱性に注意喚起、実証したとするコード情報等を確認 | ScanNetSecurity
2021.04.20(火)

複数のBIG-IP製品の脆弱性に注意喚起、実証したとするコード情報等を確認

一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は3月22日、「複数のBIG-IP製品の脆弱性(CVE-2021-22986)に関する注意喚起」を発表した。対象となる製品およびバージョンは次の通り。

脆弱性と脅威 セキュリティホール・脆弱性
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は3月22日、「複数のBIG-IP製品の脆弱性(CVE-2021-22986)に関する注意喚起」を発表した。対象となる製品およびバージョンは次の通り。

BIG-IP(LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 16系のバージョン 16.0.0から16.0.1まで
- 15系のバージョン 15.1.0から15.1.2まで
- 14系のバージョン 14.1.0から14.1.3まで
- 13系のバージョン 13.1.0から13.1.3まで
- 12系のバージョン 12.1.0から12.1.5まで

BIG-IQ Centralized Management
- 7系のバージョン 7.1.0、7.0.0
- 6系のバージョン 6.0.0から6.1.0まで

F5 Networksは現地時間3月10日に、BIG-IP製品の複数の脆弱性に関する情報を公開、脆弱性が悪用されると認証されていない遠隔の第三者が任意のコードを実行するなどの可能性がある。

JPCERT/CCではこれらの脆弱性の内、複数のBIG-IP製品のiControl RESTインタフェースにおける遠隔から任意のコードが実行可能となる脆弱性(CVE-2021-22986)について、本脆弱性を実証したとするコードの情報や、本脆弱性の影響を受ける機器を探索するスキャン、脆弱性の悪用を試みたと推察される通信の情報を確認している。

JPCERT/CCでは、十分なテストを実施の上で、F5 Networksが公開した脆弱性(CVE-2021-22986)を修正済みのバージョンを適用することを検討するよう注意を呼びかけている。また、修正済みのバージョンの適用が難しい場合には、F5 Networksが提示するアクセス制限などの回避策の適用の検討を呼びかけている。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×