F5 BIG-IP anfällig für Kerberos KDC Spoofing-Schwachstelle gefunden

Cyber Security News

Cybersecurity-Forscher haben am Mittwoch eine neue Umgehungsschwachstelle in der Kerberos Key Distribution Center (KDC)-Sicherheitsfunktion aufgedeckt, die sich auf F5 Big-IP Application Delivery Services auswirkt.

“Die KDC-Spoofing-Schwachstelle ermöglicht es einem Angreifer, die Kerberos-Authentifizierung gegenüber dem Big-IP Access Policy Manager (APM) zu umgehen, Sicherheitsrichtlinien zu umgehen und ungehinderten Zugriff auf sensible Workloads zu erhalten”, so die Silverfort-Forscher Yaron Kassner und Rotem Zach in einem Bericht. “In einigen Fällen kann dies genutzt werden, um auch die Authentifizierung an der Big-IP-Administrationskonsole zu umgehen.”

Zeitgleich mit der öffentlichen Enthüllung hat F5 einen Patch veröffentlicht, der die Schwachstelle behebt.

[Blocked Image: https://thehackernews.com/images/-InfTQtUM5C4/YHc_0ZGpd6I/AAAAAAAA3w4/MWDrU14UJKQj4OKBMbp0NWLiHrGgZ1IwQCLcBGAsYHQ/s728-e100/thn-728-5.png]

Kerberos ist ein Authentifizierungsprotokoll, das auf einem Client-Server-Modell zur gegenseitigen Authentifizierung beruht und einen vertrauenswürdigen Vermittler namens Key Distribution Center (KDC) – in diesem Fall ein Kerberos Authentication Server (AS) oder ein Ticket Granting Server – benötigt, der als Repository für die gemeinsamen geheimen Schlüssel aller Benutzer sowie für Informationen darüber fungiert, welche Benutzer Zugriffsrechte auf welche Dienste auf welchen Netzwerkservern haben.

[Blocked Image: https://thehackernews.com/images/-K4kNTZKgZQE/YIlcHZtNtEI/AAAAAAAACZQ/XkYy3RMemZImZ6m_mzi59MyAsQX_Ggo6QCLcBGAsYHQ/s0/Kerberos.jpg]

Wenn also ein Benutzer, z. B. Alice, auf einen bestimmten Dienst auf einem Server (Bob) zugreifen möchte, wird Alice aufgefordert, ihren Benutzernamen und ihr Kennwort anzugeben, um ihre Identität zu verifizieren, woraufhin der AS prüft, ob Alice Zugriffsrechte auf Bob hat, und, falls ja, ein “Ticket” ausstellt, das dem Benutzer die Nutzung des Dienstes bis zu seiner Ablaufzeit erlaubt.

Ein weiterer wichtiger Teil des Prozesses ist die Authentifizierung des KDC gegenüber dem Server, ohne die die Sicherheit von Kerberos gefährdet ist, so dass ein Angreifer, der in der Lage ist, die Netzwerkkommunikation zwischen Big-IP und dem Domain Controller (dem KDC) zu kapern, die Authentifizierung vollständig umgehen kann.

und dem Domänencontroller (der das KDC ist), die Authentifizierung komplett zu umgehen.

[Blocked Image: https://thehackernews.com/images/-F6uIYIM1HU4/YHc_zlYQIjI/AAAAAAAA3ww/LiZQUqk8VF4NmFffFdQLXkunBuUDOa4FgCLcBGAsYHQ/s300-e100/thn-300-5.png]

Kurz gesagt: Wenn das Kerberos-Protokoll richtig implementiert ist, kann ein Angreifer, der versucht, sich als KDC auszugeben, die Authentifizierungsschutzmaßnahmen nicht umgehen. Der Spoofing-Angriff beruht daher auf der Möglichkeit, dass es unsichere Kerberos-Konfigurationen gibt, um die Kommunikation zwischen dem Client und dem Domänencontroller zu kapern und diese zu nutzen, um ein betrügerisches KDC zu erstellen, das den für den Controller bestimmten Datenverkehr an das gefälschte KDC umleitet und sich anschließend gegenüber dem Client authentifiziert.

Dies ist der vierte derartige Spoofing-Fehler, den Silverfort aufgedeckt hat, nachdem im vergangenen Jahr ähnliche Probleme in Cisco ASA (CVE-2020-3125), Palo Alto Networks PAN-OS (CVE-2020-2002) und IBM QRadar (CVE-2019-4545) entdeckt wurden.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com