F5 Big-IP 存在 KDC 欺骗漏洞,攻击者可完全控制系统
名为CVE-2021-23008的KDC欺骗漏洞可用于绕过Kerberos安全性并登录到Big-IP访问策略管理器或管理控制台。
研究人员透露,F5 Networks的Big-IP应用程序交付服务设备包含一个KDC欺骗漏洞,攻击者可以利用该漏洞摆脱保护敏感工作负载的安全措施。
Silverfort的研究人员说,特别是,攻击者可能利用此漏洞(跟踪为CVE-2021-23008)绕过Kerberos安全性并登录到Big-IP访问策略管理器。Kerberos是一种网络身份验证协议,旨在通过使用密钥加密为客户端/服务器应用程序提供强身份验证。他们补充说,在某些情况下,该漏洞还可用于绕过Big-IP管理控制台的身份验证。
无论哪种情况,网络犯罪分子都可以在没有合法凭据的情况下不受限制地访问Big-IP应用程序。
潜在的影响可能是巨大的:F5为世界上一些最大的科技公司(包括Facebook,Microsoft和Oracle)以及众多财富500强公司(包括一些世界上最大的金融机构和ISP)提供企业网络。
CVE-2021-23008
该漏洞特别存在于设备的核心软件组件之一中:访问策略管理器(APM)。它管理和强制执行访问策略,即确保所有用户均已通过身份验证并有权使用给定的应用程序。Silverfort研究人员指出,有时也会使用APM来保护对Big-IP管理控制台的访问。
他们解释说,APM将Kerberos实现为APM策略要求的身份验证的身份验证协议。
研究人员在周四发布的博客中说:“当用户通过Big-IP访问应用程序时,可能会看到一个强制门户,要求他们输入用户名和密码。” “用户名和密码已通过Kerberos协议针对Active Directory进行了验证,以确保用户就是他们所声称的身份。”
在此过程中,用户实质上是对服务器进行身份验证,而服务器又对客户端进行身份验证。为了正常工作,KDC还必须向服务器进行身份验证。KDC是一项网络服务,向Active Directory域内的用户和计算机提供会话票证和临时会话密钥。
研究人员说:“显然,对服务器的KDC身份验证经常被忽略。” “也许是因为需要它使配置要求变得复杂。但是,如果KDC不对服务器进行身份验证,则该协议的安全性将完全受到损害,从而使劫持网络流量的攻击者可以使用任何密码(甚至是无效的密码)向Big-IP进行身份验证。”
F5的针对访问策略配置Active Directory身份验证的说明不包括此最后一步。
“当用户尝试向位于代理后面的应用进行身份验证时,将向该用户输入用户名和密码。当用户输入密码时,产品将使用Kerberos对域控制器(DC)进行身份验证。但是,APM不会请求服务凭单,而是基于成功的AS_REP授予访问权限。”
另外,F5允许用户配置管理员用户名和密码,如果用来对DC进行身份验证,则可以防止此漏洞。F,在F5的设置中,不会发生这种情况。
Silverfort表示:“但是,它不是用于这些目的,而是仅用于获取主要或嵌套组,提示用户进行密码更改或执行复杂性检查或密码重置的目的。”
开发方案
根据星期四发布的F5的建议,要使攻击起作用,就要求攻击者已经在目标环境中。
“ BIG-IP APM AD(Active Directory)身份验证可以使用通过劫持的KDC(Kerberos密钥分发中心)连接发送的欺骗性AS-REP(Kerberos身份验证服务响应)响应来绕过,也可以通过攻击者入侵的AD服务器绕过BIG-IP APM AD(Active Directory)身份验证,咨询读。
但是,初始访问可能并不那么困难:3月,F5的BIG-IP和BIG-IQ企业网络基础结构中的四个关键远程命令执行(RCE)漏洞暴露出来,这些漏洞可能使攻击者能够完全控制易受攻击的系统。一周后,研究人员报告了对该漏洞的大规模扫描和利用。
无论如何,Silverfort假设攻击者可以劫持Big-IP与DC之间的网络通信的能力,从而设计出了攻击者可以采取的欺骗DC的步骤来绕过这种身份验证:
他们解释说:“我们通过将Big IP和端口88(Kerberos端口)上的KDC(在本例中为域控制器)之间的流量重定向到我们自己的Windows Server,来模拟攻击。” “我们在Windows服务器上设置了一个伪造的域,并确保在真实域中有一个与Big-IP管理员具有相同[用户ID]的用户。我们在该伪造域中将该用户的密码配置为“ 1”。”
然后,在将流量转移到伪造的DC的情况下登录时,将使用密码“ 1”登录。
如何防止 F5 BIG-IP 攻击
F5发布了更新,应将其应用。
此外,管理员应启用Silverfort建议的多因素身份验证,并持续监视Kerberos身份验证。
他们说:“寻找仅请求AS_REQ的资源。” “如果没有TGS_REQ,那就是一个危险信号。”
F5指出,利用漏洞的可能性取决于配置选择。
“对于配置了AD身份验证和SSO(单点登录)代理的APM访问策略,如果使用了与此漏洞相关的欺骗性凭据,则取决于后端系统如何验证其收到的身份验证令牌,访问很可能会失败”,根据该咨询。“还可以为AIG访问策略配置BIG-IP系统身份验证。通过APM访问策略为管理用户提供的与此漏洞相关的欺骗性凭据将导致本地管理访问。”
根据Silverfort的说法,管理员还应验证Kerberos的实现是否需要密码或密钥表:“要验证DC,您需要使用某种共享密钥。如果您的解决方案不允许配置密钥表文件或服务帐户密码,则该应用程序肯定会受到KDC欺骗的影响。”
