United States Computer Emergency Readiness Team (US-CERT)は7月4日(米国時間)、「F5 Releases Security Advisory for BIG-IP TMUI RCE vulnerability, CVE-2020-5902|CISA」において、F5ネットワークスのロードバランサ―のローカルトラフィック管理システム「BIG-IP Traffic Management User Interface (TMUI」)に脆弱性が存在すると伝えた。

対象の脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。脆弱性に関する情報は次のページにまとまっている。

Article: K52145254 - TMUI RCE vulnerability CVE-2020-5902

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 15.1.0

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 15.0.0

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 14.1.0から14.1.2までのバージョン

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 13.1.0から13.1.3までのバージョン

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 12.1.0から12.1.5までのバージョン

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 11.6.1から11.6.5までのバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 15.1.0.4

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 14.1.2.6

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 13.1.3.4

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 12.1.5.2

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 11.6.5.2

Article: K52145254 - TMUI RCE vulnerability CVE-2020-5902

セキュリティ脆弱性は深刻度がスコア値最大の緊急(Critical)に分類されており注意が必要。