7月1日に公表されましたBIG-IPの"Critical"レベルの脆弱性に関しまして、その概要をご報告いたします。
本脆弱性は、BIG-IPのSelf IPやManagement Portに外部から接続可能で、且つtcp 443 (クラウドの1NIC構成では8443、またはユーザ様設定による)のWebUI画面へアクセスが可能な場合に、ユーザ認証無しでRemote Code Executionが実行可能であるという問題です。
恒久対策として、以下の修正バージョンへのアップグレードをお願い致します。
暫定対策として、外部からのアクセスを制限する複数の軽減策がございます。軽減策の詳細については、本脆弱性のオフィシャルドキュメント(AskF5)をご参照ください。
[修正バージョン]
v16.0.0、v15.1.0.4、v14.1.2.6、v13.1.3.4、v12.1.5.2、v11.6.5.2
AskF5 オフィシャルドキュメント
K52145254: TMUI RCE vulnerability CVE-2020-5902
https://support.f5.com/csp/article/K52145254
K4602: Overview of the F5 security vulnerability response policy
https://support.f5.com/csp/article/K4602
ご不明点がございましたら、保守契約のあるF5代理店様 または F5サポートまでお問い合わせください。
F5代理店様
https://www.f5.com/ja_jp/partners/jp-find-a-partner
F5サポート
https://www.f5.com/ja_jp/services/support/jp-support