米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は5月10日(米国時間)、「CISA Adds One Known Exploited Vulnerability to Catalog|CISA」において、「Known Exploited Vulnerabilities Catalog」にF5ネットワークスのロードバランサー「F5 BIG-IP」の脆弱性を追加したと伝えた。
影響を受ける製品は次のとおり。
- CVE-2022-1388 F5 - BIG-IP
脆弱性の主な内容は次のとおり。
CVE番号 | 脆弱性の内容 |
---|---|
CVE-2022-1388 | F5 BIG-IP contains a missing authentication in critical function vulnerability which can allow for remote code execution, creation or deletion of files, or disabling services. |
F5 BIG-IPの脆弱性がサイバー攻撃に悪用され始めたことは先日、オーストラリアサイバーセキュリティセンター(ACSC: Australian Cyber Security Centre)が注意を喚起したばかり(参考「F5 BIG-IPの緊急脆弱性の悪用を確認、ただちにアップデートを | TECH+」)。
オーストラリアサイバーセキュリティセンターの行動に続き、CISAも同様の行動を取ったことになる。該当する製品を使っている場合、ただちに内容を確認するとともに、アップデートや回避策の適用を実施することが望まれる。