CISA įspėja, kad buvo pastebėti grėsmės veikėjai, piktnaudžiaujantys nešifruotais nuolatiniais F5 BIG-IP slapukais, kad nustatytų ir nukreiptų kitus tiksliniame tinkle esančius vidinius įrenginius.
Numatydami vidinius įrenginius, grėsmės veikėjai gali potencialiai nustatyti pažeidžiamus tinklo įrenginius planuodami kibernetines atakas.
„CISA pastebėjo kibernetinės grėsmės veikėjus, naudojančius nešifruotus nuolatinius slapukus, valdomus F5 BIG-IP vietinio srauto tvarkyklės (LTM) modulio, kad surašytų kitus tinkle esančius ne interneto įrenginius“, – įspėja CISA.
„Kenkėjiškas kibernetinis veikėjas gali panaudoti informaciją, surinktą iš nešifruotų nuolatinių slapukų, kad padarytų išvadą arba identifikuotų papildomus tinklo išteklius ir potencialiai išnaudotų kitų tinkle esančių įrenginių spragas.
F5 nuolatinių seansų slapukai
F5 BIG-IP yra programų pristatymo ir srauto valdymo įrankių rinkinys, skirtas apkrovos balansavimui žiniatinklio programoms ir saugumui užtikrinti.
Vienas iš pagrindinių jo modulių yra Vietinio srauto tvarkyklės (LTM) modulis, teikiantis srauto valdymą ir apkrovos balansavimą, kad tinklo srautas būtų paskirstytas keliuose serveriuose. Naudodami šią funkciją klientai optimizuoja subalansuotus serverio išteklius ir aukštą pasiekiamumą.
Produkto Vietinio srauto tvarkyklės (LTM) modulis naudoja pastovumo slapukus, kurie padeda išlaikyti seanso nuoseklumą, kiekvieną kartą nukreipiant srautą iš klientų (žiniatinklio naršyklių) į tą patį vidinį serverį, o tai labai svarbu apkrovos balansavimui.
„Slapukų išlikimas užtikrina patvarumą naudojant HTTP slapukus“, – aiškinama F5 dokumentacijoje.
„Kaip ir visi atkaklumo režimai, HTTP slapukai užtikrina, kad užklausos iš to paties kliento būtų nukreipiamos į tą patį telkinio narį po to, kai BIG-IP sistema iš pradžių jas subalansuoja. Jei tas pats telkinio narys nepasiekiamas, sistema atlieka naują įkėlimą. subalansuojantis sprendimas“.
Šie slapukai pagal numatytuosius nustatymus yra nešifruoti, todėl gali išlaikyti veikimo vientisumą naudojant senas konfigūracijas arba dėl našumo sumetimų.
Pradedant nuo 11.5.0 ir naujesnės versijos, administratoriams buvo suteikta nauja parinktis „Reikalinga“, kad būtų užtikrintas visų slapukų šifravimas. Tie, kurie nusprendė jo neįjungti, susidūrė su saugumo rizika.
Tačiau šiuose slapukuose yra užkoduotų IP adresų, prievadų numerių ir vidinių apkrovos subalansuotų serverių apkrovos balansavimo sąrankų.
Daugelį metų kibernetinio saugumo tyrinėtojai dalijosi, kaip galima piktnaudžiauti nešifruotais slapukais ieškant anksčiau paslėptų vidinių serverių arba galimų nežinomų atskleistų serverių, kurie gali būti nuskaityti dėl pažeidžiamumų ir naudojami vidiniam tinklui pažeisti. Taip pat buvo išleistas „Chrome“ plėtinys, skirtas šiems slapukams iškoduoti, kad padėtų BIG-IP administratoriams šalinti ryšio triktis.
Anot CISA, grėsmės veikėjai jau naudojasi šiuo potencialu, išnaudodami silpnas konfigūracijas tinklo atradimui.
CISA rekomenduoja F5 BIG-IP administratoriams peržiūrėti tiekėjo instrukcijas (taip pat čia), kaip užšifruoti šiuos nuolatinius slapukus.
Atminkite, kad vidurio taško „Pageidaujamas“ konfigūracijos parinktis generuoja užšifruotus slapukus, bet taip pat leidžia sistemai priimti nešifruotus slapukus. Šį nustatymą galima naudoti perkėlimo etape, kad anksčiau išleisti slapukai toliau veiktų prieš įvedant šifruotus slapukus.
Kai nustatyta kaip „Reikalingas“, visi nuolatiniai slapukai užšifruojami naudojant stiprų AES-192 šifravimą.
CISA taip pat pažymi, kad F5 sukūrė diagnostikos įrankį, pavadintą „BIG-IP iHealth“, skirtą aptikti netinkamas gaminio konfigūracijas ir įspėti apie jas administratorius.
