2021年3月10日に公表されました脆弱性の内、4つのBIG-IP/BIG-IQの"Critical"レベルの脆弱性に関しまして、その概要をご報告いたします。
1.CVE-2021-22986 - K03009991 - Severity: Critical - CVSS Score: 9.8
本脆弱性は、BIG-IPのiControl RESTインターフェース経由で、ユーザ認証無しでRemote Command Executionが実行可能であるという問題です。
恒久対策として、以下の修正バージョンへのアップグレードをお願い致します。
暫定対策として、iControl RESTに対する外部からのアクセスを制限する軽減策がございます。詳細については、本脆弱性のオフィシャルドキュメント(AskF5)をご参照ください。
[修正バージョン]
BIG-IP:
v16.0.1.1、v15.1.2.1、v14.1.4、v13.1.3.6、v12.1.5.3
BIG-IQ:
v8.0.0, v7.1.0.3, v7.0.0.2
AskF5 オフィシャルドキュメント
K03009991: iControl REST Unauthenticated remote command execution vulnerability CVE-2021-22986
https://support.f5.com/csp/article/K03009991
2.CVE-2021-22987 - K18132488 - Severity: Critical - CVSS Score: 9.9
本脆弱性は、BIG-IPがAppliance Modeで稼働しており、Management Port/Self IP経由でWebUI画面へ認証し、アクセスが可能なユーザでRemote Command Executionが実行可能であるという問題です。
恒久対策として、以下の修正バージョンへのアップグレードをお願い致します。
暫定対策として、WebUI画面への外部からのアクセスを制限する軽減策がございます。詳細については、本脆弱性のオフィシャルドキュメント(AskF5)をご参照ください。
[修正バージョン]
BIG-IP:
v16.0.1.1、v15.1.2.1、v14.1.4、v13.1.3.6、v12.1.5.3, v11.6.5.3
AskF5 オフィシャルドキュメント
K18132488: Appliance Mode TMUI Authenticated remote command execution vulnerability CVE-2021-22987
https://support.f5.com/csp/article/K18132488
3.CVE-2021-22991 - K56715231 - Severity: Critical - CVSS Score: 9.0
本脆弱性は、悪意のあるリクエストをVirtual Serverへ送ることにより、TMMでURI正規化を行った際にバッファオーバーフローが発生する可能性があり、結果としてDoS攻撃が可能となります。これによりURLベースでのアクセス制御を無視したり、Remote Code Executionが実行可能であるという問題です。
恒久対策として、以下の修正バージョンへのアップグレードをお願い致します。
詳細については、本脆弱性のオフィシャルドキュメント(AskF5)をご参照ください。
[修正バージョン]
BIG-IP:
v16.0.1.1、v15.1.2.1、v14.1.4、v13.1.3.6、v12.1.5.3
AskF5 オフィシャルドキュメント
K56715231: TMM Buffer Overflow vulnerability CVE-2021-22991
https://support.f5.com/csp/article/K56715231
4.CVE-2021-22992 - K52510511 - Severity: Critical - CVSS Score: 9.0
本脆弱性は、BIG-IP Advanced WAF/ASMのVirtual Serverを設定しており、Login Pageの設定がされている場合、特定のHTTP Responseを処理した際に、バッファオーバーフローが発生し、結果としてDoS攻撃が可能となります。これにより、Remote Code Executionが実行可能であるという問題です。
恒久対策として、以下の修正バージョンへのアップグレードをお願い致します。
暫定対策として、iRuleの設定やLogin Pageの設定等、複数の軽減策がございます。詳細については、本脆弱性のオフィシャルドキュメント(AskF5)をご参照ください。
[修正バージョン]
BIG-IP:
v16.0.1.1、v15.1.2.1、v14.1.4、v13.1.3.6、v12.1.5.3, v11.6.5.3
AskF5 オフィシャルドキュメント
K52510511: Advanced WAF/ASM Buffer Overflow vulnerability CVE-2021-22992
https://support.f5.com/csp/article/K52510511
脆弱性に関するドキュメントとその他ドキュメントは下記をご参照ください。
BIG-IP and BIG-IQ Vulnerabilities and Fixes
https://www.f5.com/services/support/March2021_Vulnerabilities
BIG-IP and BIG-IQ Vulnerabilities: F5's Commitment to Product Security
https://www.f5.com/company/blog/big-ip-and-big-iq-vulnerabilities-protecting-your-organization
K02566623: Overview of F5 critical vulnerabilities (March 2021)
https://support.f5.com/csp/article/K02566623
K04532512: Frequently asked questions for CVE-2021-22986, CVE-2021-22987, CVE-2021-22988, CVE-2021-22989, and CVE-2021-22990
https://support.f5.com/csp/article/K04532512
K90004114: Frequently asked questions for CVE-2021-22991
https://support.f5.com/csp/article/K90004114
K50963210: Frequently asked questions for CVE-2021-22992
https://support.f5.com/csp/article/K50963210
K4602: Overview of the F5 security vulnerability response policy
https://support.f5.com/csp/article/K4602
Guidance for updating BIG-IP
https://www.f5.com/pdf/deployment-guides/bigip-update-upgrade-guide.pdf
ご不明点がございましたら、保守契約のあるF5代理店様 または F5サポートまでお問い合わせください。
F5代理店様
https://www.f5.com/ja_jp/partners/jp-find-a-partner
F5サポート
https://www.f5.com/ja_jp/services/support/jp-support