0
0
O aparelho de Serviços de Entrega de Aplicativos Big-IP da F5 Networks contém uma vulnerabilidade de falsificação do Key Distribution Center (KDC), revelaram os pesquisadores – que um invasor poderia usar para superar as medidas de segurança que protegem cargas de trabalho sensíveis.
Especificamente, um invasor poderia explorar a falha (rastreada como CVE-2021-23008) para contornar a segurança de Kerberos e entrar no Big-IP Access Policy Manager, de acordo com pesquisadores da Silverfort. Kerberos é um protocolo de autenticação de rede projetado para fornecer autenticação forte para aplicativos cliente/servidor usando criptografia de chave secreta. Em alguns casos, o bug pode ser usado para contornar a autenticação para o console administrador Big-IP também, acrescentaram.
Em ambos os casos, um cibercriminoso poderia obter acesso irrestrito a aplicativos Big-IP, sem ter credenciais legítimas.
O impacto potencial pode ser significativo: o F5 fornece redes corporativas para algumas das maiores empresas de tecnologia do mundo, incluindo Facebook, Microsoft e Oracle, bem como para uma série de empresas da Fortune 500, incluindo algumas das maiores instituições financeiras e ISPs do mundo.
Especificações do CVE-2021-23008
A vulnerabilidade existe especificamente em um dos principais componentes de software do aparelho: o Access Policy Manager (APM). Ele gerencia e aplica políticas de acesso, ou seja, certificando-se de que todos os usuários estão autenticados e autorizados a usar um determinado aplicativo. Os pesquisadores da Silverfort observaram que o APM às vezes é usado para proteger o acesso ao console de administração Big-IP também.
A APM implementa kerberos como um protocolo de autenticação exigido por uma política APM, explicaram eles.
“Quando um usuário acessa um aplicativo através do Big-IP, ele pode ser apresentado com um portal cativo e necessário para inserir um nome de usuário e senha”, disseram os pesquisadores, em uma postagem no blog emitida na quinta-feira. “O nome de usuário e a senha são verificados no Active Directory com o protocolo Kerberos para garantir que o usuário seja quem ele afirma ser.”
Durante esse processo, o usuário autentica essencialmente para o servidor, que por sua vez autentica ao cliente. Para funcionar corretamente, no entanto, o KDC também deve autenticar para o servidor. O KDC é um serviço de rede que fornece bilhetes de sessão e chaves de sessão temporárias para usuários e computadores dentro de um domínio do Active Directory.
“Aparentemente, a autenticação do KDC para o servidor é muitas vezes negligenciada”, disseram os pesquisadores. “Talvez porque exigir isso complica os requisitos de configuração. No entanto, se o KDC não autenticar para o servidor, a segurança do protocolo será totalmente comprometida, permitindo que um invasor que sequestrou o tráfego de rede se autenticar para Big-IP com qualquer senha, mesmo uma inválida.”
As instruções do F5 para configurar a autenticação do Active Directory para políticas de acesso não incluem esta última etapa.
“Quando um usuário tenta autenticar para um aplicativo sentado atrás do proxy, o usuário é desafiado a inserir um nome de usuário e senha. Quando o usuário digita sua senha, o produto usa Kerberos para autenticar ao controlador de domínio (DC). No entanto, a APM não solicita um bilhete de serviço e concede acesso com base em um AS_REPbem-sucedido “.
Além disso, o F5 permite que os usuários configurem um nome de usuário e senha administrativos, que se usados para autenticar para o DC, impede a vulnerabilidade. Infelizmente, na configuração do F5, isso não acontece.
“No entanto, ele não é usado para esses fins, mas apenas com o propósito de buscar grupos primários ou aninhados, solicitando ao usuário uma alteração de senha ou realizando uma verificação de complexidade ou uma redefinição de senha”, de acordo com Silverfort.
Cenários de Exploração
Fazer o trabalho de ataque exige que o atacante já esteja dentro do ambiente do alvo, de acordo com a assessoria do F5,emitida na quinta-feira.
“A autenticação do BIG-IP APM AD (Active Directory) pode ser contornada usando uma resposta falsificada do AS-REP (Kerberos Authentication Service Response) enviada por uma conexão KDC (Kerberos Key Distribution Center) sequestrada ou de um servidor AD comprometido por um invasor”, lê-se no comunicado.
No entanto, o acesso inicial pode não ser tão difícil: em março, quatro falhas críticas de execução remota de código (RCE) na infraestrutura de rede corporativa BIG-IP e BIG-IQ do F5 vieram à tona que poderiam permitir que os invasores assumissem controle total sobre um sistema vulnerável. Uma semana depois, pesquisadores relataram que a varredura e exploração em massa dos insetos já começou.
De qualquer forma, Silverfort estabeleceu os passos que um invasor pode tomar para falsificar um DC para contornar esse tipo de autenticação, assumindo a capacidade de sequestrar a comunicação de rede entre Big-IP e o DC:
“Simulamos um ataque redirecionando o tráfego entre o Big-IP e o KDC (neste caso um controlador de domínio) na porta 88 (a porta Kerberos) para o nosso próprio Windows Server”, explicaram. “Criamos um domínio falso no servidor windows e nos certificamos de que há um usuário com o mesmo [ID do usuário] que o administrador Big-IP no domínio real. Configuramos a senha do usuário como ‘1’ no domínio falso.”
Em seguida, ao fazer login com o tráfego desviado para o DC falso, o login com a senha “1” funcionará.
Como prevenir ataques de BIG-IP F5
O F5 emitiu uma atualização, que deve ser aplicada.
Além disso, os administradores devem permitir a autenticação multifatorial, recomendado por Silverfort e monitorar continuamente a autenticação kerberos para comportamentos estranhos.
“Procure recursos que solicitem apenas AS_REQ”, disseram eles. “Se não há TGS_REQs, é uma bandeira vermelha.”
F5 também apontou que o potencial para uma exploração depende de escolhas de configuração.
“Para uma política de acesso APM configurada com autenticação AD e agente SSO (single sign-on), se uma credencial falsificada relacionada a essa vulnerabilidade for usada, dependendo de como o sistema back-end valida o token de autenticação que recebe, o acesso provavelmente falhará”, de acordo com a assessoria. “Uma política de acesso APM também pode ser configurada para autenticação do sistema BIG-IP. Uma credencial falsificada relacionada a essa vulnerabilidade para um usuário administrativo através da política de acesso APM resulta em acesso administrativo local.”
E, finalmente, os administradores também devem validar que a implementação do Kerberos requer uma senha ou keytab, de acordo com Silverfort: “Para validar o DC, você precisa usar algum tipo de segredo compartilhado. Se sua solução não habilitar a configuração de um arquivo keytab ou uma senha de conta de serviço, o aplicativo certamente será suscetível à falsificação de KDC.”
FONTE: THREATPOST