脆弱性・事例

CVE-2021-22986 深刻度解説:F5 BIG-IP/BIG-IQ認証バイパスRCE脆弱性とEPSS94%が示す高悪用リスク

admin · · 最終更新 2026年5月17日 · 6 min read

F5 BIG-IP / BIG-IQ

CVE-2021-22986 は、F5 Networks 社の負荷分散・WAF 製品「BIG-IP」および管理製品「BIG-IQ」の iControl REST 管理 API に存在する認証バイパス型のリモートコード実行(RCE)脆弱性である。CVSS は 9.8(Critical)、EPSS は 94% に達する。F5 製品は通信事業者・大手金融・政府機関等で広く採用されており、放置されているシステムは深刻な侵入リスクを抱え続ける。

概要

  • 識別子:CVE-2021-22986
  • CVSS v3.1:9.8(Critical)
  • 影響を受けるバージョン:BIG-IP 12.1.x / 13.1.x / 14.1.x / 15.1.x / 16.0.x、BIG-IQ 6.x / 7.x
  • 修正バージョン:BIG-IP 11.6.5.3, 12.1.6, 13.1.4, 14.1.4.2, 15.1.2.1, 16.0.1.1(およびそれ以降)
  • 悪用観測:CISA KEV 収録、PoC 公開済み、EPSS 94%

技術的な詳細

脆弱性のメカニズム

BIG-IP / BIG-IQ の管理コンソールは、iControl REST という HTTP/HTTPS ベースの管理 API を提供する。本来、API へのアクセスには Basic 認証またはトークン認証が必要だが、本脆弱性では認証チェックを通らずに任意のリクエストを処理してしまう経路が存在した。攻撃者は未認証のまま /mgmt/tm/util/bash 等のエンドポイントに対し POST リクエストを送信し、運用権限(多くの場合 root 相当)でシェルコマンドを実行できる。

攻撃ベクター(典型例)

  • 外部公開された管理インターフェース(TCP 443/8443)に対し、PoC として広く流通する HTTP リクエストを送付
  • BASH コマンドが BIG-IP 内で root 権限で実行され、設定ファイル取得、リバースシェル設置、横展開の起点になる
  • BIG-IP は SSL 終端を担うことが多く、本機の侵害は配下サービスの平文通信内容の流出に直結する

影響範囲

  • F5 BIG-IP(LTM, AFM, ASM, APM, AVR, PEM, FPS, DNS, GTM, Link Controller を含む全モジュール)
  • F5 BIG-IQ Centralized Management
  • 管理 IP がインターネット公開されている、または DMZ 内で広く到達可能なネットワーク構成のすべて

検知のヒント

  • BIG-IP のアクセスログ(/var/log/restjavad.0.log, audit)で /mgmt/tm/util/bash/mgmt/tm/util/qkview への未認証 POST を検索
  • F5 公式が提供する IoC スクリプト(K03009991)の実行
  • SIEM で BIG-IP 管理 IF への外部 IP からのアクセスを継続監視

推奨される技術的対応

  • 即時:F5 公式公開のフィックスバージョンへのアップグレード
  • 暫定:管理インターフェースをインターネットから完全に切り離す(management IP を社内専用ネットへ)。Self IP の Port Lockdown を Allow None に設定
  • 事後確認:侵害の痕跡(不審なローカルアカウント、cron、bashrc 改ざん、SSH 公開鍵追加)を確認。疑いがあれば設定の re-image を推奨

非エンジニア向け — 経営・管理部門に向けた解説

何が問題か(1 分で)

自社のシステムの「入口を守る装置」として広く使われている F5 BIG-IP という製品に、外部から鍵なしで侵入されてしまう穴がありました。攻撃者はこの穴を使って装置を支配し、装置を経由して通信する顧客データ・社内通信・認証情報をすべて見られる立場に立てます。インターネット銀行・通信事業者・大企業のネットワーク機器として広く採用されているため、もし侵害された場合の影響は通常の Web サーバー侵害より一段大きい。

自社への影響を判断する

  • 自社のネットワーク機器に F5 BIG-IP / BIG-IQ が含まれているかを情シス・インフラ部門に確認する
  • 本件公開(2021 年 3 月)以降に F5 製品のソフトウェアアップグレードを実施した記録があるか
  • 管理画面がインターネットから到達可能になっていないか(多くのインシデントはこの一点で防げる)

IT 部門に確認すべき 3 つの質問

  • 「当社で稼働中の BIG-IP / BIG-IQ のバージョンと、CVE-2021-22986 に対する対応状況を教えてください」
  • 「BIG-IP 管理インターフェースのアクセス元 IP は社内に限定されていますか」
  • 「侵害可能性を示すアクセスログの調査結果と、結果を踏まえた事後アクションをまとめてください」

経営判断のポイント

  • F5 のような「インフラ機器」に対する脆弱性は、Web サイト 1 つの侵害よりも被害が広範になりやすい。事業継続計画(BCP)上、ネットワーク機器の脆弱性対応 SLA を見直すべきタイミング
  • 管理インターフェースをインターネットから切り離すという基本的な対策で本件の被害は大幅に縮小できた。基本設計の見直しは、個別 CVE への対応より優先される
  • マネージドサービスとして F5 機器を運用委託している場合、委託先のパッチ適用記録を契約に基づいて開示要請する

出典・関連リンク

本記事は公開情報に基づき Omamori AI 編集部が執筆しました。実際の対応にあたっては、自社環境の構成と影響範囲を踏まえ、ベンダー公式情報および JPCERT/CC・CISA 等の公的勧告を必ず確認してください。

SHARE 𝕏 in f
編集部
Omamori AI 編集部
CISO・情シス・経営層向けに、AIセキュリティの一次情報を編集視点で整理

あわせて読みたい

記事の論点を、自社のリスク評価に

90秒の自己診断 or CISO/情シス向け月次レビュー(顧問契約)でアクションに繋げます。

無料 90秒 自己診断 顧問契約 詳細