大手Webサービスや大学/政府機関で使われる「BIG-IP」に深刻な脆弱性

F-Secureセキュリティコンサルタント Christoffer Jerkeby氏

　エフセキュア株式会社は、F5 Networksの提供するロードバランサー(負荷分散装置)の「BIG-IP」において、一般的な構成で重大な脆弱性を発見したと発表した。

　脆弱性を発見したのはF-SecureセキュリティコンサルタントのChristoffer Jerkeby氏で、攻撃者は脆弱性を持つBIG-IPの設定を悪用して、企業/団体のネットワークに侵入でき、侵入先のデバイスによって管理されたWebサービスを使用する個人に対して、さまざまな攻撃を仕掛けることができるという。

　セキュリティ上の本質的な欠陥は、ネットワークトラフィックの管理に使用されるBIG-IP Local Traffic Managerで使用されるTclベースのスクリプト言語「iRules」に存在しており、特定のコーディング手法によって任意のTclコマンドを挿入でき、ターゲットとなるTclスクリプトのセキュリティコンテキストにおいて任意のコマンドを実行される可能性がある。

　BIG-IPは、アプリケーションを最適に配信することで、企業システムの運用を最大限に効率化するための機能を持ったアプリケーショントラフィック管理装置として提供されているもので、Webサービスを提供する大企業や、金融機関、政府機関などで採用実績がある。

　米空軍向けのシステム開発を行なっている企業や、日本国内の私立大学、大手Webサービス企業などでBIG-IPが使われている。

　セッション管理やCookie保存、Webトラフィックのバックエンドサーバーへのルーティングなどで活用されており、調査の結果、インターネット上では30万台以上のBIG-IPが稼働しており、実際の台数はこれよりはるかに多いとみられている。

　本脆弱性を利用した攻撃では、Webトラフィックを傍受して操作することも可能で、認証資格情報などの機密情報が漏洩する可能性もある。また攻撃者が攻撃の証拠を含んだログを削除する可能性もあり、これによってインシデント調査が著しく妨げられるおそれも指摘されている。

　Jerkeby氏は、前述のように、この脆弱性は攻撃者が侵入して目的を達成したあと、形跡を隠されると誰も気づくことができないため、極めて深刻であると述べ、多くの企業や団体は、ソフトウェアのサプライチェーンに潜んでいる問題を発見、修復する準備ができておらず、さらに大きなセキュリティ問題に発展する危険性を孕んでいると指摘。

　また、何を探せば良いのかが分からなければ、問題の発生を予測するのは難しく、実際に攻撃を受けたさいに対処するのは極めて困難であると言わざるを得ないと述べ、こうしたセキュリティ上の問題は直ちに解決する手段がないため、問題に取り組むかどうかは企業/団体次第であるとしている。

　コーディングの欠陥と脆弱性のクラスは目新しいものではなく、一般的な言語におけるほかのコマンドインジェクションの脆弱性と同様に以前から知られていたものであること、すべてのBIG-IPユーザが影響を受けるわけではないが、オンラインサービスを提供する企業/団体の間で広く使用されていること、Tclの潜在的なセキュリティ問題の根本原因がハッキリしていないことを考慮し、エフセキュアでは、BIG-IPの全ユーザー企業に対して、自分たちが脆弱性の影響を受けているかどうかを調査するよう警告している。