BIG-IP Next Central Managerの新たな脆弱性、デバイス乗っ取りに繋がる恐れ:CVE-2024-26026、CVE-2024-21793 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > BIG-IP Next Central Managerの新たな脆弱性、デバイス乗っ取りに繋がる恐れ:CVE-2024-26026、CVE-2024-21793

Threat Report

BIG-IP

F5

ODataインジェクション

BIG-IP Next Central Managerの新たな脆弱性、デバイス乗っ取りに繋がる恐れ:CVE-2024-26026、CVE-2024-21793

佐々山 Tacos

佐々山 Tacos

2024.05.09

BIG-IP Next Central Managerの新たな脆弱性、デバイス乗っ取りに繋がる恐れ:CVE-2024-26026、CVE-2024-21793

BleepingComputer – May 8, 2024 

F5が、同社製品BIG-IP Next Central Managerにおける深刻度の高い脆弱性CVE-2024-26026およびCVE-2024-21793を修正。Next Central Managerは、オンプレミス・クラウド問わずあらゆるBIG-IP Nextインスタンスを一括管理するためのツールで、攻撃者が両脆弱性の悪用に成功した場合、同ツールの管理者権限を奪い、管理対象のインスタンスに悪意あるアカウントを作成できるようになる恐れがあるという。

CVE-2024-26026はSQLインジェクションの脆弱性で、CVE-2024-21793はODataインジェクションの脆弱性。両脆弱性の報告者であるサプライチェーンセキュリティ企業のEclypsiumによって、8日に脆弱性の詳細とPoCエクスプロイトが公開されている。これによると、CVE 2024-21793またはCVE 2024-26026を用いてCentral Managerの管理UIへのアクセスに成功した攻撃者は、その他の脆弱性を利用して同ツールの管理下にあるBIG-IP Nextアセットの新規アカウントを作成できるようになるという。またこれらの悪意あるアカウントはCentral Manager自体から視認することができないため、被害者環境内で密かに潜伏を続けるための手段として使われる可能性があるとされる。なおEclypsiumは、現時点でこれらの脆弱性が実際の攻撃で悪用された形跡はないとしている。

Next Central Managerの導入率は不明だが、Shodanの調査結果では、管理ポートがネット上に露出しているF5 BIG-IPデバイスは1万台以上観測されているという。ユーザーにはセキュリティアップデートのインストールが呼びかけられており、直ちにこの対応ができない管理者に対しては、Next Central Managerへのアクセスを、安全なネットワークを介した信頼できるユーザーからのアクセスのみに制限することが推奨されている。

過去にF5 BIG-IP製品の脆弱性が悪用された事例についてはこちらの記事で:

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ