Falha no F5 Big-IP permite acesso ao Access Policy Manager

Falha no F5 Big-IP permite acesso ao Access Policy Manager. A falha de falsificação de KDC rastreada como CVE-2021-23008 pode ser usada para ignorar a segurança Kerberos e entrar no Big-IP Access Policy Manager ou no console de administração.

O dispositivo Big-IP Application Delivery Services da F5 Networks contém uma vulnerabilidade de falsificação do Key Distribution Center (KDC), revelaram os pesquisadores – que um invasor pode usar para superar as medidas de segurança que protegem cargas de trabalho confidenciais.

Especificamente, um invasor pode explorar a falha (rastreada como CVE-2021-23008) para contornar a segurança Kerberos e entrar no Big-IP Access Policy Manager, de acordo com pesquisadores. A vulnerabilidade KDC Spoofing permite que um invasor contorne a autenticação Kerberos para o Big-IP Access Policy Manager (APM), contorne as políticas de segurança e obtenha acesso irrestrito a cargas de trabalho sensíveis“, disseram os pesquisadores da Silverfort Yaron Kassner e Rotem Zach em um relatório. Em alguns casos, isso também pode ser usado para ignorar a autenticação no console de administração do Big-IP.

Em ambos os casos, um cibercriminoso poderia obter acesso irrestrito a aplicativos Big-IP, sem ter credenciais legítimas.

O impacto potencial pode ser significativo: a F5 fornece rede corporativa para algumas das maiores empresas de tecnologia do mundo, incluindo Facebook, Microsoft e Oracle, bem como para uma série de empresas Fortune 500, incluindo algumas das maiores instituições financeiras e ISPs do mundo .

Coincidindo com a divulgação pública, a F5 Networks lançou patches para solucionar o problema (CVE-2021-23008, pontuação CVSS 8.1), com correções introduzidas nas versões BIG-IP APM 12.1.6, 13.1.4, 14.1.4 e 15.1 .3. Um patch semelhante para a versão 16.x é esperado em uma data futura.

Recomendamos que os clientes que executam o 16.x verifiquem o comunicado de segurança para avaliar sua exposição e obter detalhes sobre as atenuações da vulnerabilidade“, disse F5 ao The Hacker News por e-mail. Como soluções alternativas, a empresa recomenda configurar a autenticação multifator (MFA) ou implantar um túnel IPSec entre o sistema BIG-IP APM afetado e os servidores Active Directory.

Kerberos é um protocolo de autenticação que depende de um modelo cliente-servidor para autenticação mútua e requer um intermediário confiável chamado Centro de distribuição de chaves ( KDC ) – um servidor de autenticação Kerberos (AS) ou um servidor de concessão de tíquete neste caso – que atua como um repositório de chaves secretas compartilhadas de todos os usuários, bem como informações sobre quais usuários têm privilégios de acesso a quais serviços em quais servidores de rede.

Especificações CVE-2021-23008

A vulnerabilidade existe especificamente em um dos principais componentes de software do dispositivo: O Access Policy Manager (APM), que gerencia e fiscaliza as políticas de acesso, ou seja, garante que todos os usuários estejam autenticados e autorizados a usar um determinado aplicativo. Os pesquisadores da Silverfort observaram que o APM às vezes também é usado para proteger o acesso ao console de administração do Big-IP.

APM implementa Kerberos como um protocolo de autenticação exigido por uma política de APM, eles explicaram.

Quando um usuário acessa um aplicativo através do Big-IP, ele pode ser apresentado a um portal privado e solicitado a inserir um nome de usuário e uma senha”, disseram os pesquisadores em uma postagem no blog publicada na quinta-feira . “O nome de usuário e a senha são verificados no Active Directory com o protocolo Kerberos para garantir que o usuário seja quem afirma ser.

Durante esse processo, o usuário essencialmente se autentica no servidor, que por sua vez se autentica no cliente. Para funcionar corretamente, no entanto, o KDC também deve se autenticar no servidor. KDC é um serviço de rede que fornece tíquetes de sessão e chaves de sessão temporárias para usuários e computadores em um domínio do Active Directory.

Aparentemente, a autenticação KDC para o servidor é freqüentemente esquecida”, disseram os pesquisadores. “Talvez porque exigi-lo complique os requisitos de configuração. No entanto, se o KDC não se autenticar no servidor, a segurança do protocolo ficará totalmente comprometida, permitindo que um invasor que sequestrou o tráfego de rede se autentique no Big-IP com qualquer senha, mesmo que seja inválida.

As instruções de F5 para configurar a autenticação do Active Directory para políticas de acesso não incluem esta última etapa.

Quando um usuário tenta se autenticar em um aplicativo atrás do proxy, o usuário é desafiado a inserir um nome de usuário e uma senha. Quando o usuário insere sua senha, o produto usa Kerberos para se autenticar no controlador de domínio (DC). No entanto, o APM não solicita um tíquete de serviço e concede acesso com base em um AS_REP bem-sucedido .

Além disso, F5 permite que os usuários configurem um nome de usuário e senha de administrador, que, se usados ​​para autenticação no DC, evita a vulnerabilidade. Infelizmente, na configuração do F5, isso não acontece.

No entanto, ele não é usado para esses fins, mas apenas para o propósito de buscar grupos primários ou aninhados, solicitar ao usuário uma alteração de senha ou realizar uma verificação de complexidade ou uma redefinição de senha”, de acordo com Silverfort.

Cenários de Exploração

Para fazer o ataque funcionar, é necessário que o invasor já esteja dentro do ambiente do alvo, de acordo com o comunicado da F5 , divulgado no dia 29 de abril.

A autenticação BIG-IP APM AD (Active Directory) pode ser ignorada usando uma resposta falsificada AS-REP (Kerberos Authentication Service Response) enviada através de uma conexão KDC (Kerberos Key Distribution Center) sequestrada ou de um servidor AD comprometido por um invasor, ” diz o aviso.

No entanto, o acesso inicial pode não ser tão difícil: Em março, quatro falhas crítica de execução de código remoto (RCE) do BIG-IP da F5 e da empresa BIG-IQ infraestrutura de rede, veio à luz e que poderia permitir que hackers para assumir o controle total sobre um sistema vulnerável . Uma semana depois, os pesquisadores relataram que a varredura em massa e a exploração dos bugs já haviam começado.

Em qualquer caso, Silverfort descreveu as etapas que um invasor pode realizar para falsificar um DC para contornar esse tipo de autenticação, assumindo a capacidade de sequestrar a comunicação de rede entre o Big-IP e o DC:

Simulamos um ataque redirecionando o tráfego entre o Big-IP e o KDC (neste caso, um controlador de domínio) na porta 88 (a porta Kerberos) para nosso próprio Windows Server”, explicaram eles. “Configuramos um domínio falso no servidor Windows e nos certificamos de que haja um usuário com o mesmo [ID de usuário] que o administrador do Big-IP no domínio real. Configuramos a senha desse usuário como ‘1’ no domínio falso. ” Então, ao fazer o login com o tráfego desviado para o DC falso, o login com a senha “1” funciona.

Como prevenir ataques F5 Big-IP

F5 emitiu uma atualização, que deve ser aplicada. A empresa lançou patches para uma vulnerabilidade de gravidade média no BIG-IP APM (CVE-2021-23016) que poderia ser usada para contornar as restrições internas e recuperar conteúdo estático armazenado no APM.

BIG-IP APM versões 11.5.2 a 16.0.1 são conhecidas por serem vulneráveis. Correções foram incluídas no BIG-IP APM versões 12.1.6, 13.1.4, 14.1.4 e 15.1.3, mas não há patches disponíveis para as ramificações 11.xe 16.x.

Além disso, os administradores devem habilitar a autenticação multifator e monitorar continuamente a autenticação Kerberos para comportamento estranho.

Procure recursos que solicitem apenas AS_REQ”, disseram eles. “Se não houver TGS_REQs, é uma bandeira vermelha.

F5 também apontou que o potencial para um exploit depende das opções de configuração.

Para uma política de acesso APM configurada com autenticação AD e agente SSO (logon único), se uma credencial falsificada relacionada a esta vulnerabilidade for usada, dependendo de como o sistema back-end valida o token de autenticação que recebe, o acesso provavelmente falhará” diz o comunicado. “Uma política de acesso APM também pode ser configurada para autenticação do sistema BIG-IP. Uma credencial falsificada relacionada a esta vulnerabilidade para um usuário administrativo por meio da política de acesso APM resulta em acesso administrativo local.”

E, finalmente, os administradores também devem validar que a implementação do Kerberos requer uma senha ou keytab, de acordo com Silverfort: “Para validar o DC, você precisa usar algum tipo de segredo compartilhado. Se a sua solução não permitir a configuração de um arquivo keytab ou uma senha de conta de serviço, o aplicativo é certamente suscetível a falsificação de KDC.

Fonte: Threat Post & The Hackers News

Veja também:

 

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Intel, AMD disputam descobertas sobre vulnerabilidades de chips
  2. Bruxas, feiticeiros e super-heróis ajudam seus filhos a ficarem protegidos

Deixe sua opinião!