概要
F5 BIG-IP APM(Access Policy Manager)の アクセス ポリシー が 設定 された 仮想 サーバー に 対し、特定 の 悪意 ある トラフィック に より リモート コード 実行(RCE)が 可能 と なる 脆弱性 です。この 脆弱性 は CISA の Known Exploited Vulnerabilities(KEV)カタログ に 掲載 されて おり、実際 の 攻撃 で 悪用 が 確認 されて います。
この 脆弱性 は CWE-770(Allocation of Resources Without Limits or Throttling)に 分類 され、リソース 割り当て の 制限 が 不十分 で ある こと に 起因 します。攻撃者 は 認証 なし で ネットワーク 経由 で この 脆弱性 を 悪用 でき、攻撃 の 複雑 さ も 低い ため、非常 に 危険度 が 高い です。CVSS スコア は 9.8 で Critical と 評価 されて います。
BIG-IP は 企業 の ネットワーク インフラ に おいて ロード バランサー や アプリケーション デリバリ コントローラ として 広く 使用 されて おり、影響 範囲 は 非常 に 広い です。特に APM モジュール は リモート アクセス VPN や SSO(シングル サイン オン)などの 認証 基盤 として 使用 される ため、侵害 された 場合 の 影響 は 甚大 です。
CISA KEV に 掲載 されて いる ため、米国 連邦 政府 機関 に は 期限 内 の 対応 が 義務 付けられて いますが、民間 組織 に おいても 早急 な 対応 が 強く 推奨 されます。End of Technical Support(EoTS)到達 済み バージョン は 評価 対象外 です。F5 アドバイザリ K000156741 を 参照 し、該当 する 修正 バージョン へ の アップデート を 速やかに 実施 して ください。
BIG-IP は Fortune 500 企業 の 多く で 使用 されて おり、金融 機関、医療 機関、政府 機関 の ネットワーク 基盤 に おいて 重要 な 役割 を 果たして います。この 脆弱性 の 悪用 に より、組織 の 認証 基盤 が 侵害 され、内部 ネットワーク へ の 不正 アクセス や データ 漏洩 に つながる リスク が あります。侵入 検知 システム(IDS)や セキュリティ 情報 イベント 管理(SIEM)を 活用 し、異常 な トラフィック パターン の 監視 を 強化 して ください。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 9.8(Critical) |
| 攻撃 元 区分 | ネットワーク |
| 攻撃 条件 の 複雑 さ | 低 |
| 必要 な 特権 レベル | 不要 |
| ユーザー 関与 | 不要 |
| CWE | CWE-770(Allocation of Resources Without Limits or Throttling) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン |
|---|---|---|
| BIG-IP APM | F5 | アクセス ポリシー 設定 済み 環境(詳細 は K000156741 参照) |
修正 バージョン と 回避策
- 修正 バージョン: F5 アドバイザリ K000156741 に 記載 の バージョン を 参照 して ください
- CISA KEV 掲載: 実際 の 攻撃 で の 悪用 が 確認 されて おり、速やかな 対応 が 必要 です
- アクセス ポリシー が 設定 された 仮想 サーバー を 使用 して いる 環境 が 対象 です
- EoTS 到達 済み バージョン は 評価 対象外 の ため、サポート 中 の バージョン へ の 移行 を 検討 して ください
- 推奨: ネットワーク レベル で の アクセス 制限 を 追加 し、信頼 できる ソース IP のみ から の 接続 を 許可 する
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。