F5デバイスの大規模な露出

F5 Networksのインフラストラクチャへの最近の侵害により、269,000台以上のデバイスが攻撃に対して露出・脆弱な状態になっていることが判明しました。セキュリティ研究者がF5の管理ポータルで異常な活動を検知し、同社は警告を発し、重要な脆弱性に対処するパッチをリリースしました。

しかし、迅速な対応にもかかわらず、Shadowserverのデイリーレポートによると、約269,000のF5デバイスに関連するユニークなIPアドレスが依然としてインターネット上でアクセス可能な状態にあるとのことです。

専門家が警告するリスクの増大

F5が緊急修正をリリースした後、世界中のセキュリティチームは未更新のデバイスのスキャンを開始しました。Shadowserverのデバイス識別レポートは、脆弱または誤設定されたネットワーク機器を追跡しており、現在269,000台以上のF5デバイスがオンラインでパッチ未適用であることを示しています。この数字には、ロードバランサーからアプリケーションデリバリーコントローラーまで、企業ネットワークの中心に位置するシステムが含まれます。

Shadowserverのデータによると、これらの露出したデバイスのほぼ半分が米国にあり、残りはヨーロッパ、アジア、ラテンアメリカ、アフリカに分散しています。専門家は、重要なネットワークデバイスの露出した管理インターフェースは、攻撃者が足がかりを得たり、横方向に移動したり、機密データを抜き取ったりするための格好の標的であると強調しています。

地理的分布と推奨される対策

Shadowserverは、露出したF5機器の地理的分布を詳細に示すインタラクティブなダッシュボードを提供しています。米国が全体の約45%を占める一方、ドイツや英国などのヨーロッパ諸国、インドや中国などのアジア諸国も数千の脆弱なIPを抱えています。セキュリティチームは、このダッシュボードを参照して、即座の注意と修復が必要なIP範囲を正確に特定できます。

ユーザーと管理者は、F5デバイスをベンダーの勧告と照合し、遅滞なくパッチを適用するよう強く求められています。F5のインシデント対応記事には、影響を受けるソフトウェアバージョンと、管理インターフェースを保護するための段階的な手順が記載されています。ネットワーク運用者は、定期的なスキャンと自動化ツールを使用して、未パッチのデバイスを検出する必要があるでしょう。

Shadowserverのデバイス識別レポートのような外部データフィードを既存のセキュリティ情報およびイベント管理（SIEM）システムに組み込むことで、リアルタイムのアラートを提供できます。このようなプロアクティブな監視を怠る企業は、サービス停止、データ盗難、または金銭的損失につながる侵害のリスクを負うことになります。

F5のインシデントは、信頼できるネットワークインフラベンダーでさえセキュリティの欠陥から免れないことを改めて示しています。管理者の勤勉さ、厳格なパッチ管理、および外部からの露出監査を組み合わせることが、露出したデバイスを標的とする日和見主義的な攻撃者に対する最善の防御策となるでしょう。

元記事: https://gbhackers.com/over-269000-f5-devices-found-exposed/