Lỗ hổng giả mạo tính năng Kerberos KDC trong F5 BIG-IP

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi DDos, 29/04/21, 11:04 AM.

  1. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 1,910
    Đã được thích: 459
    Điểm thành tích:
    83
    Các nhà nghiên cứu an ninh mạng vừa công bố một lỗ hổng bỏ qua (CVE-2021-23008) trong tính năng bảo mật của Kerberos Key Distribution Center (KDC) ảnh hưởng đến các dịch vụ phân phối ứng dụng F5 Big-IP.

    Theo các nhà nghiên cứu: “Lỗ hổng KDC Spoofing cho phép kẻ tấn công bỏ qua xác thực Kerberos tới trình Quản Lý Chính Sách Truy Cập (APM) của Big-IP, vượt qua các chính sách bảo mật và giành quyền truy cập không hạn chế vào các workload. Trong một số trường hợp, lỗi này có thể bị khai thác để bỏ qua bước xác thực đối với bảng điều khiển quản trị Big-IP".

    F5 Networks đã phát hành các bản vá lỗ hổng (CVE-2021-23008, điểm CVSS 8.1) dành cho các phiên bản BIG-IP APM 12.1.6, 13.1.4, 14.1.4 và 15.1 .3. Dự kiến sẽ có một bản vá tương tự cho phiên bản 16.x được phát hành trong thời gian sắp tới.
    f5.jpg
    Hãng F5 khuyến cáo khách hàng đang chạy phiên bản 16.x thực hiện theo tư vấn bảo mật để đánh giá mức độ ảnh hưởng của lỗ hổng cũng như cập nhật thông tin chi tiết về các biện pháp giảm thiểu tác động của lỗ hổng. Đồng thời để giải quyết vấn đề, khách hàng nên cấu hình xác thực đa yếu tố (MFA) hoặc triển khai tunnel IPSec giữa hệ thống BIG-IP APM bị ảnh hưởng và các máy chủ Active Directory.

    Kerberos là một giao thức xác thực dựa trên mô hình máy khách-máy chủ để xác thực lẫn nhau và yêu cầu một trung gian đáng tin cậy được gọi là Trung tâm phân phối khóa (KDC) - Máy chủ xác thực Kerberos (AS) hoặc Máy chủ cấp vé trong trường hợp này - hoạt động như một kho lưu trữ khóa bí mật được chia sẻ của tất cả người dùng, cũng như thông tin về đặc quyền người dùng.

    Kerberos KDC là một tính năng quản lý các phiếu dịch vụ được sử dụng để mã hóa thông điệp giữa máy chủ mạng và máy khách. Trong trường hợp tính bảo mật của Kerberos bị phá vỡ, điều này cho phép kẻ tấn công có khả năng chiếm quyền điều khiển giao tiếp mạng giữa Big-IP và Domain Controller (trong trường hợp này là KDC) để bỏ qua hoàn toàn việc xác thực.

    Khi giao thức Kerberos được triển khai, kẻ tấn công sẽ cố gắng mạo danh KDC sẽ không thể vượt qua các biện pháp bảo vệ xác thực. Do đó, cuộc tấn công giả mạo chỉ thành công khi các cấu hình Kerberos không an toàn tồn tại trên mạng để chiếm đoạt giao tiếp giữa máy khách và Domain Controller, tận dụng nó để tạo ra một KDC bị nhiễm độc để chuyển hướng lưu lượng dành cho bộ điều khiển sang KDC giả mạo và sau đó xác thực chính nó cho khách hàng.

    F5 Networks cảnh báo: "Kẻ tấn công từ xa có thể chiếm đoạt kết nối KDC bằng cách sử dụng phản hồi AS-REP giả mạo. Đối với chính sách truy cập APM được định cấu hình bằng xác thực AD và cơ chế SSO (đăng nhập một lần), nếu thông tin xác thực giả mạo liên quan đến lỗ hổng này được sử dụng, tùy thuộc vào cách hệ thống back-end xác thực danh tính mà nó nhận được, thông tin xác thực giả mạo này có thể không khả dụng. Chính sách truy cập APM cũng có thể được định cấu hình cho xác thực hệ thống BIG-IP. Thông tin đăng nhập giả mạo liên quan đến lỗ hổng này cho người dùng quản trị thông qua chính sách truy cập APM dẫn đến quyền truy cập quản trị cục bộ"

    Đây là lỗ hổng giả mạo thứ tư được Silverfort phát hiện sau khi phát hiện ra các vấn đề tương tự trong Cisco ASA (CVE-2020-3125), Palo Alto Networks PAN-OS (CVE-2020-2002) và IBM QRadar (CVE-2019-4545) vào năm ngoái.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan