F5 Big-IP anfällig für Security-Bypass Bug

Cyber Security News

Der als CVE-2021-23008 verfolgte KDC-Spoofing-Fehler kann verwendet werden, um die Kerberos-Sicherheit zu umgehen und sich beim Big-IP Access Policy Manager oder der Verwaltungskonsole anzumelden.

Die Big-IP Application Delivery Services-Appliance von F5 Networks enthält eine Key Distribution Center (KDC)-Spoofing-Schwachstelle, die ein Angreifer nutzen könnte, um die Sicherheitsmaßnahmen zum Schutz sensibler Workloads zu umgehen.

Nehmen Sie an Threatposts LIVE-Roundtable-Veranstaltung “Fortifying Your Business Against Ransomware, DDoS & Cryptojacking Attacks” am Mittwoch, den 12. Mai um 14:00 Uhr EDT teil. Dieses KOSTENLOSE Webinar wird von Zoho ManageEngine gesponsert.

Laut den Forschern von Silverfort könnte ein Angreifer die Schwachstelle (mit der Kennung CVE-2021-23008) ausnutzen, um die Kerberos-Sicherheit zu umgehen und sich beim Big-IP Access Policy Manager anzumelden. Kerberos ist ein Netzwerk-Authentifizierungsprotokoll, das mit Hilfe von Secret-Key-Kryptographie eine starke Authentifizierung für Client/Server-Anwendungen ermöglicht. In einigen Fällen kann der Fehler auch dazu verwendet werden, die Authentifizierung an der Big-IP-Administrationskonsole zu umgehen, fügten sie hinzu.

In beiden Fällen könnte ein Cyberkrimineller ungehinderten Zugriff auf Big-IP-Anwendungen erhalten, ohne legitime Anmeldeinformationen zu besitzen.

Die potenziellen Auswirkungen könnten erheblich sein: F5 stellt Unternehmensnetzwerke für einige der größten Tech-Unternehmen der Welt bereit, darunter Facebook, Microsoft und Oracle, sowie für eine Reihe von Fortune-500-Unternehmen, darunter einige der größten Finanzinstitute und ISPs der Welt.

CVE-2021-23008 Besonderheiten

Die Sicherheitslücke besteht speziell in einer der zentralen Softwarekomponenten der Appliance: Dem Access Policy Manager (APM). Er verwaltet und erzwingt Zugriffsrichtlinien, d. h. er stellt sicher, dass alle Benutzer authentifiziert und autorisiert sind, eine bestimmte Anwendung zu nutzen. Die Silverfort-Forscher stellten fest, dass der APM manchmal auch dazu verwendet wird, den Zugriff auf die Big-IP-Administrationskonsole zu schützen.

APM implementiert Kerberos als Authentifizierungsprotokoll für die von einer APM-Richtlinie geforderte Authentifizierung, erklärten sie.

“Wenn ein Benutzer über Big-IP auf eine Anwendung zugreift, wird ihm möglicherweise ein unverschlüsseltes Portal präsentiert und er muss einen Benutzernamen und ein Passwort eingeben”, so die Forscher in einem Blogeintrag vom Donnerstag. “Der Benutzername und das Passwort werden mit dem Kerberos-Protokoll gegen Active Directory verifiziert, um sicherzustellen, dass der Benutzer derjenige ist, der er vorgibt zu sein.”

Während dieses Prozesses authentifiziert sich der Benutzer im Wesentlichen gegenüber dem Server, der sich wiederum gegenüber dem Client authentifiziert. Um ordnungsgemäß zu funktionieren, muss sich das KDC auch gegenüber dem Server authentifizieren. KDC ist ein Netzwerkdienst, der Sitzungstickets und temporäre Sitzungsschlüssel für Benutzer und Computer innerhalb einer Active Directory-Domäne bereitstellt.

“Offenbar wird die KDC-Authentifizierung gegenüber dem Server oft übersehen”, so die Forscher. “Vielleicht, weil es die Konfigurationsanforderungen verkompliziert, wenn man sie verlangt. Wenn sich das KDC jedoch nicht gegenüber dem Server authentifiziert, ist die Sicherheit des Protokolls vollständig gefährdet, so dass sich ein Angreifer, der den Netzwerkverkehr gekapert hat, mit einem beliebigen Passwort, auch einem ungültigen, gegenüber Big-IP authentifizieren kann.”

In der Anleitung von F5 zur Konfiguration der Active Directory-Authentifizierung für eine Zugriffsrichtlinie ist dieser letzte Schritt nicht enthalten.

“Wenn ein Benutzer versucht, sich bei einer App zu authentifizieren, die sich hinter dem Proxy befindet, wird der Benutzer aufgefordert, einen Benutzernamen und ein Passwort einzugeben. Wenn der Benutzer sein Kennwort eingibt, verwendet das Produkt Kerberos, um sich am Domänencontroller (DC) zu authentifizieren. APM fordert jedoch kein Service-Ticket an und gewährt den Zugriff basierend auf einem erfolgreichen AS_REP.”

Außerdem erlaubt F5 den Benutzern, einen Admin-Benutzernamen und ein Kennwort zu konfigurieren, die, wenn sie zur Authentifizierung am DC verwendet würden, die Schwachstelle verhindern. Leider passiert das in der Einrichtung von F5 nicht.

“Es wird jedoch nicht für diese Zwecke verwendet, sondern nur, um primäre oder verschachtelte Gruppen abzurufen, den Benutzer zu einer Passwortänderung aufzufordern oder eine Komplexitätsprüfung oder einen Passwort-Reset durchzuführen”, so Silverfort.

Ausnutzungs-Szenarien

Damit der Angriff funktioniert, muss sich der Angreifer bereits in der Umgebung des Ziels befinden, heißt es in dem am Donnerstag veröffentlichten Advisory von F5.

“Die BIG-IP APM AD (Active Directory)-Authentifizierung kann mit einer gefälschten AS-REP (Kerberos Authentication Service Response)-Antwort umgangen werden, die über eine gekaperte KDC (Kerberos Key Distribution Center)-Verbindung oder von einem durch einen Angreifer kompromittierten AD-Server gesendet wird”, heißt es in dem Advisory.

Ein erster Zugriff könnte jedoch nicht so schwierig sein: Im März wurden vier kritische RCE-Schwachstellen (Remote Command Execution) in der BIG-IP- und BIG-IQ-Enterprise-Networking-Infrastruktur von F5 bekannt, die es Angreifern ermöglichen könnten, die volle Kontrolle über ein verwundbares System zu übernehmen. Eine Woche später berichteten Forscher über massenhaftes Scannen und Ausnutzen der Fehler.

In jedem Fall legte Silverfort die Schritte dar, die ein Angreifer unternehmen kann, um einen DC zu spoofen und diese Art der Authentifizierung zu umgehen, vorausgesetzt, er ist in der Lage, die Netzwerkkommunikation zwischen Big-IP und dem DC zu kapern:

“Wir haben einen Angriff simuliert, indem wir den Datenverkehr zwischen Big-IP und dem KDC (in diesem Fall ein Domain-Controller) auf Port 88 (dem Kerberos-Port) auf unseren eigenen Windows-Server umgeleitet haben”, erklärten sie. “Wir haben eine gefälschte Domäne auf dem Windows-Server eingerichtet und dafür gesorgt, dass es einen Benutzer mit demselben [user ID] wie der Big-IP-Administrator in der echten Domäne. Wir haben das Passwort dieses Benutzers so konfiguriert, dass es in der gefälschten Domäne ‘1’ lautet.”

Wenn Sie sich dann mit dem zum gefälschten DC umgeleiteten Datenverkehr anmelden, funktioniert die Anmeldung mit dem Kennwort “1”.

Wie man F5 Big-IP-Attacken verhindert

F5 hat ein Update herausgegeben, das eingespielt werden sollte.

Darüber hinaus sollten Admins die von Silverfort empfohlene Multifaktor-Authentifizierung aktivieren und die Kerberos-Authentifizierung kontinuierlich überwachen.

“Suchen Sie nach Ressourcen, die nur AS_REQs anfordern”, hieß es. “Wenn es keine TGS_REQs gibt, ist das eine rote Flagge.”

F5 wies darauf hin, dass das Potenzial für einen Exploit von den Konfigurationsentscheidungen abhängt.

“Für eine APM-Zugriffsrichtlinie, die mit AD-Authentifizierung und SSO-Agent (Single Sign-On) konfiguriert ist, wird der Zugriff höchstwahrscheinlich fehlschlagen, wenn ein gefälschtes Credential im Zusammenhang mit dieser Schwachstelle verwendet wird, je nachdem, wie das Back-End-System das empfangene Authentifizierungs-Token validiert”, heißt es in dem Advisory. “Eine APM-Zugriffsrichtlinie kann auch für die BIG-IP-Systemauthentifizierung konfiguriert werden. Ein gefälschtes Credential im Zusammenhang mit dieser Schwachstelle für einen administrativen Benutzer über die APM-Zugriffsrichtlinie führt zu lokalem administrativen Zugriff.”

Admins sollten laut Silverfort auch validieren, dass die Implementierung von Kerberos ein Passwort oder eine Keytab erfordert: “Um den DC zu validieren, müssen Sie eine Art von Shared Secret verwenden. Wenn Ihre Lösung es nicht ermöglicht, eine Keytab-Datei oder ein Dienstkonto-Passwort zu konfigurieren, ist die Anwendung sicherlich anfällig für KDC-Spoofing.”

Nehmen Sie an der Threatpost-Veranstaltung “Fortifying Your Business Against Ransomware, DDoS & Cryptojacking Attacks” teil – ein LIVE-Roundtable-Event am Mi, 12. Mai um 14:00 Uhr EDT. Gesponsert von Zoho ManageEngine, moderiert Threatpost-Moderatorin Becky Bracken eine Expertenrunde, die die besten Abwehrstrategien für diese Bedrohungen des Jahres 2021 diskutiert. Fragen und LIVE-Beteiligung des Publikums sind erwünscht. Nehmen Sie an der lebhaften Diskussion teil und registrieren Sie sich HIER kostenlos.

Einige Teile dieses Artikels stammen aus:
threatpost.com