黑客滥用 F5 BIG-IP cookie 来映射内部服务器 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

黑客滥用 F5 BIG-IP cookie 来映射内部服务器

胡金鱼 新闻 2024-10-23 12:01:00
38840
收藏

导语:据了解,F5 还开发了一种名为“BIG-IP iHealth”的诊断工具,旨在检测产品上的错误配置并向管理员发出警告。

CISA 表示,已发现威胁分子滥用未加密的持久性 F5 BIG-IP cookie 来识别和瞄准目标网络上的其他内部设备。

通过绘制内部设备图,威胁者可以潜在地识别网络上易受攻击的设备,作为网络攻击规划阶段的一部分。 

据 CISA 表述,“恶意分子可以利用从未加密的持久性 cookie 收集的信息来推断或识别其他网络资源,并可能利用网络上其他设备中发现的漏洞。”

F5 持久会话 cookie

F5 BIG-IP 是一套应用程序交付和流量管理工具,用于负载平衡 Web 应用程序并提供安全性。其核心模块之一是本地流量管理器(LTM)模块,它提供流量管理和负载平衡,以在多个服务器之间分配网络流量。使用此功能,客户可以优化其负载平衡的服务器资源和高可用性。

产品中的本地流量管理器 (LTM) 模块使用持久性 cookie,通过每次将来自客户端(Web 浏览器)的流量引导到同一后端服务器来帮助维护会话一致性,这对于负载平衡至关重要。

“Cookie 持久性使用 HTTP cookie 强制执行持久性”F5 的文档解释道。 

与所有持久模式一样,HTTP cookie 确保来自同一客户端的请求在 BIG-IP 系统最初对它们进行负载平衡后被定向到同一池成员。如果同一池成员不可用,系统会进行新的负载权衡决定。

这些 cookie 默认情况下未加密,可能是为了保持旧配置的操作完整性或出于性能考虑。从版本 11.5.0 及更高版本开始,管理员获得了一个新的“必需”选项来对所有 cookie 强制加密。

那些选择不启用它的人会面临安全风险。但是,这些 cookie 包含内部负载平衡服务器的编码 IP 地址、端口号和负载平衡设置。

多年来,网络安全研究人员一直在分享如何滥用未加密的 cookie 来查找以前隐藏的内部服务器或可能未知的暴露服务器,这些服务器可以扫描漏洞并用于破坏内部网络。还发布了一个 Chrome 扩展程序来解码这些 cookie,以帮助 BIG-IP 管理员排除连接故障。

据 CISA 称,威胁者已经在利用宽松的配置进行网络发现,并建议 F5 BIG-IP 管理员查看供应商有关如何加密这些持久 cookie 的说明。

请注意,“首选”配置选项会生成加密的 cookie,但也允许系统接受未加密的 cookie。可以在迁移阶段使用此设置,以允许先前发出的 cookie 在强制执行加密 cookie 之前继续工作。

当设置为“必需”时,所有持久 cookie 均使用强 AES-192 加密进行加密。据了解,F5 还开发了一种名为“BIG-IP iHealth”的诊断工具,旨在检测产品上的错误配置并向管理员发出警告。

文章翻译自:https://www.bleepingcomputer.com/news/security/cisa-hackers-abuse-f5-big-ip-cookies-to-map-internal-servers/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2024 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务