F5 Networks – zariadenia BIG-IP obsahujú závažnú bezpečnostnú zraniteľnosť

Výskumníci spoločnosti Silverfort objavili závažnú bezpečnostnú zraniteľnosť v produkte BIG-IP spoločnosti F5 Networks. Zraniteľnosť existuje z dôvodu nedostatočnej implementácie protokolu Kerberos v manažmente prístupu APM produktov BIG-IP. Úspešné zneužitie zraniteľnosti by mohlo útočníkovi umožniť obísť proces autentifikácie, neoprávnene sa prihlásiť k rôznym službám, či administrátorskej konzole zariadenia, a tak kompromitovať celú infraštruktúru organizácie.

Dôsledky

  • Odcudzenie citlivých dát
  • Kompromitácia infraštruktúry organizácie

Opis činnosti
CVE-2021-23008 (CVSS 8.1)

Zraniteľnosť sa nachádza v mechanizme manažmentu prístupu APM (Access Policy Manager) zariadení F5 BIG-IP. APM implementuje autentifikačný protokol Kerberos pre lokálnu autentifikáciu používateľov. Niekedy sa používa aj na zabezpečenie prístupu k administrátorskej konzole BIG-IP. Zraniteľnosť existuje z dôvodu nedostatočného overenia oprávnení užívateľa žiadajúceho o prístup k službe pomocou protokolu Kerberos.

Potenciálny útočník, ktorý by dokázal presmerovať sieťovú komunikáciu (port 88) medzi doménovým radičom a zariadením BIG-IP, by mohol vytvoriť na ceste falošný doménový radič. Ten by obsahoval záznam o administrátorskom účte so zhodným menom, aké má účet správcu v skutočnom doménovom radiči, ale s rozdielnym, ľubovoľným heslom. Útočník by teda po presmerovaní komunikácie vytvoril nový, podvrhnutý KDC (Key Distribution Center) pre autentifikáciu protokolom Kerberos.

Zásadným problémom pri implementácii autentifikačného protokolu Kerberos v zariadeniach F5 Big-IP je nevyžadovanie poslednej časti bezpečnostnej autentifikácie. Správne implementovaný protokol Kerberos overuje prístup aj na cieľový server pomocou požiadavky TGS_REQ s údajmi zašifrovanými vopred dohodnutým vzájomným súkromným kľúčom pre reláciu TGS (Ticket Granting Server – na originálnom doménovom radiči, súčasť KDC) <-> Cieľový server. Zariadenia Big-IP obsahujúce zraniteľnosť CVE-2021-23008 umožňujú autentifikovať užívateľa len na základe úspešnej odpovede AS_REP od podvrhnutého KDC vytvoreného na základe podvrhnutého alebo kompromitovaného doménového radiča.

Zraniteľné systémy

Zariadenia BIG-IP APM

  • 16.0.0 – 16.0.1
  • 15.0.0 – 15.1.2
  • 14.1.0 – 14.1.3
  • 13.1.0 – 13.1.3
  • 12.1.0 – 12.1.5
  • 11.5.2 – 11.6.5

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik citlivých informácií

Odporúčania

  • Aktualizujte systém na opravenú verziu.
    • 16.x.x – opravená verzia: nie je
    • 15.x.x – opravená verzia: 15.1.3
    • 14.x.x – opravená verzia: 14.1.4
    • 13.x.x – opravená verzia: 13.1.4
    • 12.x.x – opravená verzia: 12.1.6
    • 11.x.x – opravená verzia: nie je
  • Udržujte firmvér zariadení vždy aktuálny.
  • Ak nie je dostupná opravená verzia pre Vaše zariadenie, používajte multifaktorovú autentifikáciu. (Multifaktorovú autentifikáciu ale odporúčame využívať vždy, pokiaľ je táto možnosť v zariadeniach dostupná.)
  • Zamedziť zneužitiu môžete aj využívaním IPSec tunelovania medzi zariadeniami BIG-IP APM a doménovými servermi.
  • Môžete rovnako nakonfigurovať alternatívne overenie prístupu k systému BIG-IP APM cez vzdialené overenie z adresáru používateľov využívajúc autentifikáciu SSL certifikátom.
  • Skontrolujte proces sieťovej autentifikácie cez Vaše zariadenie F5 BIG-IP. Pokiaľ zdroje požadujú iba požiadavky AS_REQ a nedopytujú požiadavky TGS_REQ, autentifikácia neprebieha bezpečne.

Odkazy
https://techdocs.f5.com/kb/en-us/products/big-ip_apm/manuals/product/apm-secure-web-gateway-implementations-11-5-0/3.html
https://thehackernews.com/2021/04/f5-big-ip-found-vulnerable-to-kerberos.html
https://www.silverfort.com/blog/silverfort-researchers-discover-kdc-spoofing-vulnerability-in-f5-big-ip-cve-2021-23008/
https://support.f5.com/csp/article/K51213246
https://threatpost.com/f5-big-ip-security-bypass/165735/
https://www.cybersecurity-help.cz/vdb/SB2021042905