آسیب پذیری های جدید در یکی از محصولات کمپانی F5 networks بنام f5 big-ip
f5 big-ip که به عنوان یک تجهیز امنیتی قوی در شبکه های کامپیوتری مورد استفاده قرار میگیرد در برابر باگ هایی که به تازگی در پروتکل احراز هویت KDC Kerberos کشف شده اند آسیب پذیر می باشد.
محققان امنیت سایبری به تازگی آسیب پذیری جدیدی از نوع Bypass با شناسه (CVE-2021-23008) در ویژگی های مرکز توضیع کلید های امنیتی پروتکل Kerberos بنام KDE که در یکی از قسمت های تجهیز F5 Big-IP پیدا شده است را فاش کردند.
نقطه نظرات تخصصی کارشناسان
یارون کسنر و روتم زاک ،از محققان برجسته ی SilverFort ، در گزارشی گفتند: ” آسیب پذیری KDC Spoofing به یک مهاجم اجازه می دهد تا احراز هویت Kerberos را در Big-IP Access Policy Manager (APM) رد کند و سیاست های امنیتی را دور زده و دسترسی ای بدون محدودیت را بدست آورد.”
“در بعضی موارد می توان از این طریق برای احراز هویت به کنسول مدیریت Big-IP نیز دسترسی پیدا کرد.”
همزمان با افشای عمومی این آسیب پذیری ، کمپانی F5 Networks path هایی را برای شناسه آسیب پذیری CVE-2021-23008 ، منتشر کرده است و بنا بر تحلیل اخبار مربوطه انتظار می رود تا تاریخ 30 june 2021 همچنان path هایی را برای نسخه های مختف این پلت فرم ارائه بدهد.
به نقل از f5 networks :
“ما به مشتریان توصیه می کنیم آن هایی که از نسخه های سری 16.x استفاده می کنند، در حال حاضر باید از مشاوران متخصص امنیت بهره جویند تا از میزان آسیب پذیریشان آگاه شوند و جزئیات مربوط به کاهش این آسیب پذیری ها را بدست آورند.”
F5 در مورد راه حل این آسیب پذیری به وبسایت هکر نیوز گفت :
به عنوان راه حل ، پیشنهاد می شود که شرکت ها از سیستم احراز هویت چند عاملی (MFA) و یا بوسیله ی استقرار یک تونل IPSec بین سیستم BIG-IP APM آسیب دیده و سرورهای Active Directory خود استفاده کنند تا مشکل آسیب پذیری سیستم احراز هویت KDE در پروتکل Kerberos حل شود.
آسیب پذیری دقیقا در کدام قسمت پروتکل Kerberos می باشد؟
Kerberos یک پروتکل احراز هویت است که برای احراز هویت متقابل به مدل client-server متکی است و به یک واسطه معتبر به نام Key Distribution Center (KDC) – که عملکردش نیاز به یک سرور احراز هویت Kerberos (AS) و یا یک سرور اعطا کننده مجوز که بتواند به عنوان یک مخزن عمل می کند. این اطلاعات می توانند شامل کلیدهایی مخفی برای احراز هویت همه کاربران و همچنین اطلاعاتی درباره اینکه کدام کاربر دارای امتیاز دسترسی به کدام سرویس در سرورهای شبکه هستند، باشد.
بنابراین هنگامی که یک کاربر ، مثلاً userA، می خواهد به یک سرویس خاص در یک سرور دیگر که userB به آن دسترسی دارد، دسترسی پیدا کند ، از userA خواسته می شود تا نام کاربری و رمز عبور خود را برای تأیید هویت خود ارائه دهد ، پس از آن Active directori بررسی می کند که آیا userA از امتیازات دسترسی به userB برخوردار است یا خیر. بنابراین ، یک “مجوز” باید صادر شود که به کاربر اجازه می دهد تا زمان انقضا مجوز ها از سرویس استفاده کند.
همچنین به عنوان بخشی از این فرآیند،وجود احراز هویت KDC به سمت سرورها کاملا ضروری است. به طوری که در غیاب آن امنیت پروتکل Kerberos به خطر می افتد ، و مهاجمی که توانایی ربودن ارتباطات شبکه بین تجهیز Big-IP و کنترل کننده دامنه را دارد ،می تواند فرایند احراز هویت را کاملا به دست بگیرد و فرایند منطقی و اصلی، به طور کامل کنار می رود ویا اصطلاحا دور زده می شود.
خلاصه مکاتبات بین F5 و وبسایت هکر نیوز :
به طور خلاصه ، فرایند KDC این است که وقتی پروتکل Kerberos به روش صحیح اجرا شود و در چرخه به فعالیت عادی خود ادامه دهد ، یک مهاجم که قصد نفوذ و دور زدن سیاست های امنیتی KDC را دارد نمی تواند ازحفاظ امنیتی احراز هویت چرخه KDC عبور کند.
بنابراین نفوذ، به احتمال وجود تنظیمات ناامن و نادرست Kerberos بستگی دارد، تا ارتباط بین کلاینت ها و کنترل کننده دامنه را برباید و از آن برای ایجاد یک KDC جعلی یا ثانویه استفاده کند که ترافیک مورد نظر برای کنترل کننده را به KDC جعلی هدایت کند ، و متعاقباً خود را برای سیستم احراز هویت تأیید می کند !!
کمپانی f5 network این مسئله را بصورت هشدار برای مشتریانش مطرح کرد که : “برای سیاست های امنیتی که با احراز هویت ActiveDirectory و SSO (single Sign On) در محصول APM این کمپانی پیکربندی شده اند، اگر از اعتبارنامه جعلی مربوط به این آسیب پذیری استفاده شود، بسته به نحوه اعتبار سنجی، سیستم پشتیبانشان، رمز تأییدی دریافت خواهند کرد که به احتمال زیاد تمام دسترسی های منطقی و مجاز را از کار خواهد انداخت تا این شرکت در تاریخ های مقرر شده که در وبسایتش به آدرسwww.f5.com مشخص کرده است، پچ های نرم افزاری و آپدیت هایی را ارائه دهد. راه حل های سیاست امنیتی دسترسی به APM همچنین می تواند برای تأیید اعتبار سیستم BIG-IP پیکربندی شود و از به وجود آمدن یک چرخه جعلی جلوگیری کند.
“E N D”