Trusted Design

CVE-2020-5902 の詳細

CVEの情報

説明:
In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.1, the Traffic Management User Interface (TMUI), also referred to as the Configuration utility, has a Remote Code Execution (RCE) vulnerability in undisclosed pages.

CVE更新日: 2020-07-01 15:15:15.360000

CVSSバージョン: 3.1

CVSSスコア: 9.8

KEVの情報

KEV更新日: 2021-11-03

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.999990000

EPSS更新日: 2026-07-17 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2020-5902について、以下の観点で解説します。

1. 脆弱性の概要

F5 BIG-IPのTraffic Management User Interface (TMUI)(設定ユーティリティとも呼ばれる)に存在するリモートコード実行 (RCE) の脆弱性です。この脆弱性は、未公開のページに存在します。

1.1 影響

この脆弱性が悪用されると、ネットワーク経由でConfiguration utilityにアクセスできる認証されていない攻撃者、または認証されたユーザーが、任意のシステムコマンドの実行、ファイルの作成または削除、サービスの無効化、および/または任意のJavaコードの実行が可能になります。これにより、システムが完全に侵害される可能性があります。

この脆弱性はデータプレーンではなく、コントロールプレーンにのみ影響を及ぼします。しかし、侵害されたシステム上のすべての情報(ログ、設定、認証情報、デジタル証明書など)は漏洩したものとみなすべきです。

1.2 深刻度

CVSSv3.1のベーススコアは9.8で「緊急 (CRITICAL)」と評価されています。 CVSSv2.0のベーススコアは10.0で「高 (HIGH)」と評価されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

F5 BIG-IP製品が影響を受けます。具体的な影響バージョンは以下の通りです。

  • BIG-IP 15.0.0 から 15.1.0.3 まで
  • BIG-IP 14.1.0 から 14.1.2.5 まで
  • BIG-IP 13.1.0 から 13.1.3.3 まで
  • BIG-IP 12.1.0 から 12.1.5.1 まで
  • BIG-IP 11.6.1 から 11.6.5.1 まで

これには、LTM、AAM、AFM、Analytics、APM、ASM、AWAF、DDHD、DNS、FPS、GTM、Link Controller、PEM、SSLOなどの製品が含まれます。

2.2 影響を受ける設定

Traffic Management User Interface (TMUI) または Configuration utility がネットワークアクセス可能な状態にある場合、特にインターネットに公開されている場合に影響を受けます。 アプライアンスモードのBIG-IPシステムも脆弱です。

3. 影響を受けた時の兆候

  • F5のTMUIがインターネットに公開されており、パッチが適用されていないバージョンを実行している場合、既に侵害されている可能性が高いとされています。
  • 脆弱性公開後、間もなく(2020年7月3日〜4日頃から)攻撃者がこの脆弱性を探索し悪用しようとする活動が観測されました。
  • 特定のプローブURL(例: /tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp)が攻撃に利用されることがあります。
  • 侵害の有無を確認するためのF5 IoC (Indicators of Compromise) 検出スクリプトや、F5 iHealthの診断機能が提供されています。
  • デバイスが侵害されていないことを証明することは困難であり、不確実な場合は侵害されているとみなすべきです。

4. 推奨対策

4.1 本対策

  • 直ちに最新の修正済みバージョンにアップデートすることが強く推奨されます。
  • 修正済みバージョンは以下の通りです。
    • BIG-IP 15.1.0.4
    • BIG-IP 14.1.2.6
    • BIG-IP 13.1.3.4
    • BIG-IP 12.1.5.2
    • BIG-IP 11.6.5.2
  • アップデートの適用前には十分なテストを実施してください。

4.2 暫定回避策(緩和策)

  • TMUIへのインターネットからのアクセスを許可しないようにしてください。
  • すべてのユーザーに対してTMUIへのアクセスを制限してください。
  • 管理インターフェースおよびSelf IPへのアクセスを制限してください。
  • F5がセキュリティアドバイザリ (K52145254) で提供している追加の保護推奨事項を適用してください。これらは新たな脅威のベクトルが発見されるたびに更新されます。
  • 攻撃で利用されるURLパターン(例: ..;)を含むリクエストをブロックするWAFルールを設定するか、Apache httpdの設定を修正する緩和策が提案されましたが、これらはバイパスされる可能性があるため、最終的な解決策としてはパッチ適用が必須です。
  • ネットワークセグメンテーションも有効なセキュリティ対策の一つです。

他に解説すべき観点

  • 脆弱性の発見者: この脆弱性は、Positive Technologies社のMikhail Klyuchnikov氏によって発見されました。
  • 悪用状況: 脆弱性の公開後、2020年7月4日にはPoC(概念実証)コードが公開され、直後から脆弱なF5 BIG-IPデバイスを探索するスキャンや攻撃が活発に観測されました。CISA(米国サイバーセキュリティ・インフラセキュリティ庁)は、未パッチのデバイスはすでに侵害されている可能性が高いと警告しており、継続的な攻撃活動が予想されています。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る