F5 NetworksのBIG-IPなどの製品に複数の脆弱性が見つかり、同社は3月10日付で詳しい情報を公開した。JPCERT コーディネーションセンター(JPCERT/CC)も22日、国内のユーザーに注意と早期対応を呼び掛けた。
脆弱性はCVE(共通脆弱性識別子)ベースで21件あり、このうち管理機能を提供するBIG-IQのiControl REST APIに存在する遠隔から任意のコード実行につながる脆弱性(CVE-2021-22986)など4件の影響度が「クリティカル」に分類されている。CVE-2021-22986についてはJPCERT/CCが、この脆弱性を悪用するための概念実証コードや、脆弱性の影響を受ける恐れのある機器を探していると見られる通信を確認した。
脆弱性の影響を受ける恐れのある製品とバージョンは以下の通り。
BIG-IP(LTM、AAM、Advanced WAF、AFM、Analytics、APM、ASM、DDHD、DNS、FPS、GTM、Link Controller、PEM、SSLO)
- バージョン 16.0.0から16.0.1まで
- バージョン 15.1.0から15.1.2まで
- バージョン 14.1.0から14.1.3まで
- バージョン 13.1.0から13.1.3まで
- バージョン 12.1.0から12.1.5まで
BIG-IQ Centralized Management
- バージョン 7.1.0、7.0.0
- バージョン 6.0.0から6.1.0まで
F5 Networksは、それぞれの脆弱性に対処する修正パッチや脆弱性の影響を緩和する方法などを提供している。