Wallarm、BIG-IP Next Central Managerの欠陥についての警戒情報を共有

5月に入り、F5アプリケーションサービスの管理用集中管理ツールであるBIG-IP Next Central Managerに新たな脆弱性が発見され、サイバーセキュリティーの状況が揺らいでいる。この脆弱性が明らかになったのは、4月にGlobalProtect機能が有効になっているPalo Altoのファイアウォールに重大な脆弱性が見つかり、不正なコマンドの実行が可能になった直後のことだった。

BIG-IP Next Central Managerの脆弱性は、Eclypsium研究グループによって発見された。合計5つの脆弱性が特定されたが、CVEが割り当てられたのは2つだけだった。これらの脆弱性が特に興味深いのは、キルチェーンでリンクされ、最初はアクセスできない状態から、Next Central Managerによって管理される複数のデバイスを秘密裏に制御するまでエスカレートする点だ。

最初の2つの脆弱性、SQLインジェクションとODataインジェクションは、最も重大だ。どちらも脆弱なシステムへのネットワークアクセスのみを持つ認証されていない攻撃によって悪用される可能性がある。これらの脆弱性を悪用すると、攻撃者は管理者のパスワードのハッシュを取得できる。もう1つの脆弱性は、ユーザーパスワードの保存に安全でないハッシュアルゴリズムを使用することに関連し、ブルートフォース攻撃を成功させるのに必要な時間が短縮される。攻撃者がパスワードハッシュを解読すると、Next Central Managerへの完全なアクセスが可能になる。

その他の脆弱性には、サーバー側リクエストフォージェリー（SSRF）がある。これにより、攻撃者は任意のBIG-IP Nextデバイス上の任意のAPIメソッドを呼び出すことができ、以前のパスワードを知らなくても管理者のパスワードを変更できる。SSRFの脆弱性は、デバイス上に非表示の特権アカウントを作成するために使用できる。このアカウントはCentral Managerからは表示されず、攻撃の検出が困難になる。つまり、Central Managerで管理者パスワードがリセットされ、システムにパッチが適用されたとしても、攻撃者のアクセスが残る可能性がある。

Wallarm WAAP（ウェブアプリケーションとAPIの保護）プラットフォームは、攻撃者が最初に管理者のパスワードハッシュを取得しようとしたときや、SSRFを介して管理対象デバイスに新しい管理者アカウントを作成しようとしたときなど、複数の段階で攻撃を検出できる。BIG-IP Next Central Managerを使用している組織は、BIG-IP Next Central Managerの修正バージョン（20.2.0）にアップグレードすることをお勧めする。セキュリティーのベストプラクティスに従って、管理インターフェイス、特にセキュリティーソリューションなどの重要なコンポーネントは、インターネットに公開するべきではない。アクセスは、安全なVPNチャネルを介して接続された限られた数の信頼できるソースのみに制限する必要がある。これにより、新しいゼロデイ脆弱性が発見されたときに侵害されるリスクが大幅に軽減される。

出典：Wallarm