サイバーニュース.jp

世界のサイバーなニュースを配信

F5、最近の侵害を受け複数の製品にセキュリティパッチを公開

カテゴリ:

, , , , , , , , ,

概要

F5ネットワークスは、最近のセキュリティインシデントを受け、同社の製品ポートフォリオ全体にわたる複数の重大な脆弱性に対処する包括的なセキュリティパッチをリリースしました。同社は2025年10月15日に四半期ごとのセキュリティ通知を発行し、企業ネットワークを重大なセキュリティリスクにさらす可能性のある多数の高深刻度脆弱性を文書化しました。

広範な脆弱性開示が複数の攻撃ベクトルを明らかに

セキュリティアドバイザリは、F5の製品エコシステム全体にわたる30以上の脆弱性を特定しており、その大半が高深刻度の脅威に分類されています。これらの脆弱性は、BIG-IPシステム、F5OSプラットフォーム、および新しいBIG-IP Nextシリーズを含む主要製品に影響を与えます。開示された脆弱性には、SSL/TLSプロトコルの弱点、ネットワークプロトコルの悪用、システムレベルのセキュリティ欠陥など、さまざまな攻撃ベクトルが含まれています。多くの開示された脆弱性に関連する高いCVSSスコアは、パッチが適用されない場合、重大なセキュリティ影響をもたらす可能性を示唆しています。

主な脆弱性

  • CVE-2025-53868: CVSSスコア 8.7 (v3.1) / 8.5 (v4.0) – 高深刻度 SCPおよびSFTPの脆弱性
  • CVE-2025-61955: CVSSスコア 7.8-8.8 (v3.1) / 8.5 (v4.0) – 高深刻度 F5OSの脆弱性
  • CVE-2025-57780: CVSSスコア 7.8-8.8 (v3.1) / 8.5 (v4.0) – 高深刻度 F5OSの脆弱性
  • CVE-2025-60016: CVSSスコア 7.5 (v3.1) / 8.7 (v4.0) – 高深刻度 SSL/TLSの脆弱性
  • CVE-2025-48008: CVSSスコア 7.5 (v3.1) / 8.7 (v4.0) – 高深刻度 MPTCPの脆弱性
  • CVE-2025-59781: CVSSスコア 7.5 (v3.1) / 8.7 (v4.0) – 高深刻度 DNSキャッシュの脆弱性
  • CVE-2025-41430: CVSSスコア 7.5 (v3.1) / 8.7 (v4.0) – 高深刻度 SSL Orchestratorの脆弱性
  • CVE-2025-55669: CVSSスコア 7.5 (v3.1) / 8.7 (v4.0) – 高深刻度 HTTP/2の脆弱性
  • CVE-2025-61951: CVSSスコア 7.5 (v3.1) / 8.7 (v4.0) – 高深刻度 DTLS 1.2の脆弱性
  • CVE-2025-55036: CVSSスコア 7.5 (v3.1) / 8.7 (v4.0) – 高深刻度 SSL Orchestratorの脆弱性

F5製品への影響

この包括的なパッチリリースのタイミングは、F5が最近のセキュリティ懸念を受けて広範な内部セキュリティ監査を実施したことを示唆しています。業界の専門家は、このような大規模な脆弱性開示は、通常、積極的なセキュリティ評価の結果であり、活発な悪用への反応ではないと指摘しています。

エンタープライズ環境でアプリケーション配信およびセキュリティサービスに広く展開されているBIG-IPシステムは、セキュリティアップデートの主要な焦点となっています。複数のCVEが、Application Security Manager (ASM)、Advanced Web Application Firewall、SSL Orchestrator、およびAccess Policy Manager (APM)を含むさまざまなBIG-IPモジュールを対象としています。これらのコンポーネントは、企業アプリケーションを保護し、安全なアクセスを管理する上で重要な役割を果たします。

次世代F5ハードウェアの基盤となるオペレーティングシステムを提供するF5OSプラットフォームも、重大な脆弱性に直面しています。2つの個別のCVE(CVE-2025-61955およびCVE-2025-57780)がF5OS-AとF5OS-Cの両方のバリアントに影響を与え、アプライアンスモード構成ではCVSSスコアが8.8に達しています。セキュリティ上の欠陥は、暗号化の実装、ネットワークプロトコル処理、システムプロセス管理など、さまざまな技術分野にわたっており、F5のテクノロジースタック全体にわたる包括的なセキュリティの弱点を示しています。

推奨事項

F5は、影響を受けるすべてのシステムに直ちにパッチを展開することを強く推奨しています。同社は、特定された各脆弱性に対処する更新されたソフトウェアバージョンをリリースしており、サポートされている製品バージョンで修正が利用可能です。F5製品を使用している組織は、特定の製品構成と展開シナリオに基づいて、パッチ展開を優先する必要があります。脆弱性開示には、影響を受ける製品の詳細なバージョン情報と対応するパッチリリースが含まれています。ほとんどの重大な脆弱性は、数年間のリリースにわたる複数の製品バージョンに影響を与え、F5のインストールベース全体にわたる広範な露出を示しています。セキュリティチームは、F5の展開を直ちに評価し、優先順位を付けたパッチ適用スケジュールを策定する必要があります。

元記事: https://gbhackers.com/f5-issues-security-patches-for-multiple-products/

投稿をさらに読み込む