エフセキュア、F5 BIG-IPの重大な脆弱性について警告

先進的サイバー・セキュリティ・テクノロジーのプロバイダであるF-Secure (本社: フィンランド・ヘルシンキ、CEO: Samu Konttinen、日本法人: 東京都港区、以下、エフセキュア) は、同社のセキュリティコンサルタントであるChristoffer Jerkeby (クリストファー・ジャーカビー) が、F5 Networks社が提供するBIG-IPの一般的な構成における重大な脆弱性を発見したと発表しました。攻撃者は脆弱性を持つBIG-IPの設定を悪用して企業/団体のネットワークに侵入し、その侵害済みデバイスによって管理されているWebサービスを使用している個人に対してさまざまな攻撃を仕掛けることができます。エフセキュアはBIG-IPのユーザに対してこの脆弱性に関する警告を発し、対応を呼びかけています。

BIG-IPは、アプリケーションを最適かつセキュアに配信し、企業システムの運用を最大限に効率化するための機能を持つアプリケーショントラフィック管理装置として、人々にWebサービスを提供する大企業、金融機関、そして政府機関などにおいて使用されています。今回発見された脆弱性により、攻撃者はコードの不備を利用してネットワークに侵入し、何の痕跡も残さずにさまざまな目的を果たすことができます。このセキュリティ上の本質的な欠陥は、iRules (ネットワークトラフィックの管理に使用されるBIG-IP Local Traffic Manager で使用されるTclベースのスクリプト言語) に存在します。特定のコーディング手法により、攻撃者は任意のTclコマンドを挿入でき、ターゲットとなるTclスクリプトのセキュリティコンテキストにおいて実行される可能性があります。

攻撃者はこのような安全でない設定のiRuleの悪用に成功すると、さらなる攻撃を仕掛けるために侵入先のBIG-IPを足掛かりにし、ユーザに重大な侵害をもたらす可能性があります。また、Webトラフィックを傍受して操作する可能性があり、認証資格情報やアプリケーションの秘密などの機密情報が漏洩する可能性があります。また、侵害を受けた企業/団体のWebサービスのユーザを標的として攻撃する可能性もあります。

脆弱なシステムを悪用することは、Webリクエストの一部としてコマンドやコードを送信するのと同じくらい簡単なケースもあり、その技術が攻撃のために実行されます。さらは、侵入先のデバイスが攻撃者の行動を記録せず、攻撃の証拠が残らないケースもあります。その他には、攻撃者がエクスプロイト後の活動の証拠を含むログを削除する可能性があり、これによりインシデントの調査が著しく妨げられるケースも発生します。

エフセキュアのシニアセキュリティコンサルタントであり、このBIG-IPの脆弱性を発見したChristoffer Jerkebyは、次のように警告を発しています。 「この設定上の問題は、攻撃者が侵入してさまざまな目的を達成し、その形跡を隠すことで、誰も気づくことができないため、極めて深刻です。さらに、多くの企業/団体では、ソフトウェアサプライチェーンに深く潜んでいる問題を発見したり修復する準備ができていないため、さらに大きなセキュリティ問題に発展する危険性をはらんでいます。何を探せばいいのかが分からなければ、この問題の発生を予測するのは難しく、実際に攻撃を受けた際に対処するのは極めて困難であると言わざるを得ません」

BIG-IPは、セッション管理、Cookieの保存、Webトラフィックのバックエンドサーバへのルーティングに大いに活用されています。今回の調査の過程で、Jerkebyはインターネット上で実稼働しているBIG-IPが30万台を超えていることを発見しましたが、これは特定の制限下での調査において出てきた数字であり、実際の台数はこれよりはるかに多いだろうと考えています。彼が見つけた稼働中のBIG-IPの約60%は米国に設置されています。

(図: 稼働中のBIG-IPの分布図)

コーディングの欠陥と脆弱性のクラスは目新しいものではなく、他の一般的な言語における他のコマンドインジェクションの脆弱性と一緒に、しばらく前から知られていました。 また、全てのBIG-IPユーザが影響を受けるわけではありませんが、BIG-IPは大企業、金融機関、そして政府機関など、多くの人々にオンラインサービスを提供する企業/団体の間で広く使用されていることと、Tclの潜在的なセキュリティ問題の根本原因がはっきりしていないことを考慮すると、BIG-IPの全てのユーザは自社が影響を受けているかどうかを調査/検証する必要があります。Jerkebyはこの問題の解決に向けて、以下のようにコメントしています。 「企業/団体が綿密な調査を行っていない限り、この問題を抱えたままでいる可能性は高いです。万全なセキュリティ環境を持つ企業に勤務するセキュリティエキスパートであっても、この間違いを犯す可能性があります。問題解決のために、そして侵害を防ぐために、この脆弱性についての認識を広める啓発活動にご協力ください」

BIG-IPユーザへの警告

インターネットをマススキャンしてBIG-IPの脆弱なインスタンスを特定して悪用したり、場合によってはそのプロセスを自動化することが可能であるため、この脆弱性問題はバグバウンティハンターや攻撃者からの注目を集める可能性があります。さらに、BIG-IPの無料試用版をベンダーから入手し、AWSストアから最小限のコストでクラウドインスタンスにアクセスすることができます。こうした理由から、そしてこのセキュリティ上の欠陥を悪用した攻撃が深刻な被害を及ぼす可能性があるため、エフセキュアではBIG-IPのユーザ企業/団体は自分たちが影響を受けているかどうかを積極的に調査するよう警告しています。

Jerkebyは、BIG-IPの構成が安全かどうかを識別できる、無料のオープンソースツールの開発を支援してきました。Jerkebyは、こうしたセキュリティ上の問題は直ちに解決する手段がないため、問題に取り組むかどうかは企業/団体次第だと話しています。 「この種のセキュリティ問題において、不幸中の幸いと言えるのは、BIG-IPのすべてのユーザが影響を受けるわけではない、ということです。しかし、大きな問題として、ベンダーからのパッチやソフトウェアアップデートでは解決できないことが挙げられます。したがって、この問題があるかどうかを確認し、発見した場合はそれを修正するのは企業/団体自身の責任となります。だからこそ、すべてのBIG-IPユーザがこの問題に能動的かつ積極的に取り組むことが重要なのです」

以下は、脆弱性が発見されたTclスクリプトを変更する方法に関してJerkebyが参照をおすすめしているWebページです。 https://wiki.tcl-lang.org/page/double+substitution https://wiki.tcl-lang.org/page/Brace+your+expr-essions https://wiki.tcl-lang.org/page/Static+syntax+analysis

(2019年8月13日 追記) 本件に関するホワイトペーパーおよび8月8日のBlack Hat USAでのプレゼンテーション資料を 本ページに追加しました。

(2019年8月15日 追記) 本件に関するFAQを追加しました。本ページ最下部の『ダウンロード/その他特典』より ご覧いただけます。

エフセキュアについて

エフセキュアほどサイバーセキュリティを熟知している企業は市場に存在しません。1988年の設立以来、エフセキュアは30年以上にわたりサイバーセキュリティの技術革新を牽引し、数千社の企業と数百万人のユーザーを守ってきました。エンドポイントの保護と脅威の検出・対応において他企業を圧倒する実績を持つエフセキュアは、巧妙なサイバー攻撃やデータ侵害からランサムウェアの感染の蔓延までを含む、あらゆる脅威から企業と個人ユーザーを保護します。エフセキュアの先進テクノロジーは、機械学習の力と世界的に有名なセキュリティラボのエキスパートの持つ専門知識を組み合わせた、『Live Security』と呼ばれる独特のアプローチに基づくものです。ヨーロッパにおいて、エフセキュアは他のどのセキュリティ関連企業よりも多くのサイバー犯罪捜査に携わっています。エフセキュア製品は全世界200社以上のブロードバンド/モバイル事業者と数千社にのぼるセールスパートナーを通じて販売されています。


エフセキュアは本社をフィンランド・ヘルシンキに、日本法人であるエフセキュア株式会社を東京都港区に置いています。また、NASDAQ ヘルシンキに上場しています。Twitter @FSECUREBLOG でも情報の配信をおこなっています。

f-secure.coom | twitter.com/fsecure | linkedin.com/f-secure

本件に関する報道関係者からのお問合せ先

秦 和哉 (Kazuya HATA)

PR Manager, Japan

+81 3 4578 7745
japan-pr@f-secure.com

プレス登録

F-Secureからのリリース配信をご希望の方は、こちらからご登録ください。

お客様の個人データは、当社の法人向けビジネス プライバシー ポリシーに従って処理されます。