このページの本文へ

前へ 1 2 3 次へ

F-Secure研究者が講演で警鐘、コマンドインジェクション攻撃防ぐコードレビューを―「Black Hat 2019」レポート

F5「BIG-IP」のiRule、コーディング次第で脆弱性量産リスクあり

2019年09月09日 07時00分更新

文● 谷崎朋子 編集● 大塚/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 F5ネットワークスの「BIG-IP」は、市場で高いシェアを誇るロードバランサー/ADC製品だ。「iRule」と呼ばれる同社独自のスクリプト言語(iRulesとも呼ばれる)を備えており、たとえば負荷分散先を指定したり、コンテンツ内容など各種条件を指定してダイナミックに設定変更したり、通信内容を書き換えたりと、きめ細かいトラフィック制御をすることができる。

 iRuleは元々、「Tcl」(Tool Command Languageの略、ティクルと発音する)というスクリプト言語のバージョン8.4をベースに開発された言語だ。そして今回、このTclに起因する潜在的な脆弱性が見つかり、iRuleスクリプトの書き方によっては“コマンドインジェクション(不正なコマンド挿入)”攻撃が可能であることが判明した。Webサイトのネットワークエンジニアが書いたiRuleスクリプトに潜在的な脆弱性があり、攻撃者がこれを悪用すれば、BIG-IPを乗っ取って、最悪の場合はそこを流れるトラフィックデータや認証情報などを傍受することも可能になるという。

 2019年8月3日~8日にかけて米国ラスベガスで開催された「Black Hat USA 2019」において、この脆弱性の発見者であるF-Secureのシニアセキュリティコンサルタントであるクリストファー・ジャーカビー氏が詳しく解説した。

Black Hat USA 2019で登壇したF-Secureのシニアセキュリティコンサルタント、クリストファー・ジャーカビー(Christoffer Jerkeby)氏

BIG-IPの挙動をスクリプトで制御できるiRuleは、Tcl 8.4ベースで開発された言語だ

訂正:掲載当初、同氏の名前を「ヤーカブー氏」と日本語表記していましたが、エフセキュアからの申し出により「ジャーカビー氏」に改めます。(2019年9月9日)

“都市伝説”扱い? Tclの脆弱性が本当はまずかった話

 ジャーカビー氏がこの脆弱性を発見したのは、ある顧客からBIG-IP導入時のセキュアな活用方法についてのコンサルティング依頼を受け、調査したときだったという。

 「Tclにコマンドインジェクション攻撃のリスクがあることは、実は1995年頃から指摘されていた。ネット検索すれば、少ないながらもドキュメントやWikiが見つかる。それなのに、なぜかはわからないがその存在を否定する人が多くて。Tclの脆弱性はまるで“都市伝説”みたいに扱われ、気が付いたら人々の記憶から消え去っていた」。ジャーカビー氏はインタビューで首をすくめながらそう述べる。

 脆弱性を発見したジャーカビー氏はF5ネットワークスに情報提供を行い、以後は密に連携しながら修正や対策案を検討していった。F5はセキュリティアドバイザリーを公開したほか、脆弱な記述を検出した場合はスクリプトを保存するタイミング、またはシステムログに警告を表示する対策を実施すると発表している。

■F5のセキュリティアドバイザリー(K15650046)
 https://support.f5.com/csp/article/K15650046

 この問題はBIG-IPそのものではなくiRule/Tclスクリプトに潜在する欠陥であり、顧客企業のネットワークエンジニアが特定のコーディング手法をとった場合に生じるものだ。したがって、F5がソフトウェアパッチなどで修正できるものではなく、顧客企業自らで問題を調査し、修正する必要があるとF-Secureでは強調している。

 「iRuleやTclの脆弱性ではあるけれど、ユーザーが『セキュアコーディング』を意識し、作成したスクリプトが安全かどうかをきちんと解析/検証することで攻撃は防ぐことができる。正しくコーディングすることでSQLインジェクション攻撃を防ぐのと同じだ」

 後述するとおり、ジャーカビー氏は自動検証ツールも提供している。これをきっかけに、BIG-IPを運用するネットワークエンジニアもセキュアコーディングを取り入れてもらえるとうれしいと、同氏は語る。

前へ 1 2 3 次へ

カテゴリートップへ

本記事はアフィリエイトプログラムによる収益を得ている場合があります

アクセスランキング

  1. 1位

    ITトピック

    実用化が楽しみすぎるスマート技術たち 「長距離ワイヤレス給電」から「室内向け太陽電池」「超音波センサー」まで

  2. 2位

    ITトピック

    IT技術者の約半数が「AIの進化で転職を意識」/これから起きるのは「SaaSの死ではなく変容」/バックアップ市場は堅調に成長、ほか

  3. 3位

    sponsored

    AIインフラ市場“一強体制”を崩せるか AMDが「Helios」で体現するオープン戦略とフィジカルAIのラストマイル

  4. 4位

    デジタル

    kintone MCP Server とは?現在提供されている3つの選択肢をフラットに比較

  5. 5位

    データセンター

    IOWNによるGPU分散インフラ「GPU over APN」実証環境を開放 NTTドコビジが全国8拠点をつなぎ提供

  6. 6位

    デジタル

    買い切り型クラウド「pCloud」がDX総合EXPOへ CEO来日で日本展開を加速

  7. 7位

    sponsored

    「IT機器が高すぎる」「熟練メンバー不在で分からない」… 情シスさんの“現場の悩み”をエンジニア3人に聞いてみた

  8. 8位

    Team Leaders

    「SaaSの死」現場の8割が実感も、半数が“年間10%以上成長”と危機感先行

  9. 9位

    Team Leaders

    AIエージェントが顧客対応から“恋愛相談”まで マッチングアプリwithのCSを変えたチャネルトーク

  10. 10位

    クラウド

    顧客企業のビジネスを動かす「基幹系AI」を実現する 日本オラクルの2027年度戦略

集計期間:
2026年07月11日~2026年07月17日
  • 角川アスキー総合研究所