黑客滥用 F5 BIG-IP cookie 来映射内部服务器
导语:据了解,F5 还开发了一种名为“BIG-IP iHealth”的诊断工具,旨在检测产品上的错误配置并向管理员发出警告。
CISA 表示,已发现威胁分子滥用未加密的持久性 F5 BIG-IP cookie 来识别和瞄准目标网络上的其他内部设备。
通过绘制内部设备图,威胁者可以潜在地识别网络上易受攻击的设备,作为网络攻击规划阶段的一部分。
据 CISA 表述,“恶意分子可以利用从未加密的持久性 cookie 收集的信息来推断或识别其他网络资源,并可能利用网络上其他设备中发现的漏洞。”
F5 持久会话 cookie
F5 BIG-IP 是一套应用程序交付和流量管理工具,用于负载平衡 Web 应用程序并提供安全性。其核心模块之一是本地流量管理器(LTM)模块,它提供流量管理和负载平衡,以在多个服务器之间分配网络流量。使用此功能,客户可以优化其负载平衡的服务器资源和高可用性。
产品中的本地流量管理器 (LTM) 模块使用持久性 cookie,通过每次将来自客户端(Web 浏览器)的流量引导到同一后端服务器来帮助维护会话一致性,这对于负载平衡至关重要。
“Cookie 持久性使用 HTTP cookie 强制执行持久性”F5 的文档解释道。
与所有持久模式一样,HTTP cookie 确保来自同一客户端的请求在 BIG-IP 系统最初对它们进行负载平衡后被定向到同一池成员。如果同一池成员不可用,系统会进行新的负载权衡决定。
这些 cookie 默认情况下未加密,可能是为了保持旧配置的操作完整性或出于性能考虑。从版本 11.5.0 及更高版本开始,管理员获得了一个新的“必需”选项来对所有 cookie 强制加密。
那些选择不启用它的人会面临安全风险。但是,这些 cookie 包含内部负载平衡服务器的编码 IP 地址、端口号和负载平衡设置。
多年来,网络安全研究人员一直在分享如何滥用未加密的 cookie 来查找以前隐藏的内部服务器或可能未知的暴露服务器,这些服务器可以扫描漏洞并用于破坏内部网络。还发布了一个 Chrome 扩展程序来解码这些 cookie,以帮助 BIG-IP 管理员排除连接故障。
据 CISA 称,威胁者已经在利用宽松的配置进行网络发现,并建议 F5 BIG-IP 管理员查看供应商有关如何加密这些持久 cookie 的说明。
请注意,“首选”配置选项会生成加密的 cookie,但也允许系统接受未加密的 cookie。可以在迁移阶段使用此设置,以允许先前发出的 cookie 在强制执行加密 cookie 之前继续工作。
当设置为“必需”时,所有持久 cookie 均使用强 AES-192 加密进行加密。据了解,F5 还开发了一种名为“BIG-IP iHealth”的诊断工具,旨在检测产品上的错误配置并向管理员发出警告。
发表评论