CISA avertizează că actorii de amenințare au fost observați abuzând cookie-urile persistente necriptate F5 BIG-IP pentru a identifica și a viza alte dispozitive interne din rețeaua vizată.
Prin cartografierea dispozitivelor interne, actorii de amenințare pot identifica potențial dispozitive vulnerabile din rețea ca parte a etapelor de planificare în cadrul atacurilor cibernetice.
„CISA a observat actori de amenințare cibernetice care folosesc cookie-urile persistente necriptate gestionate de modulul F5 BIG-IP Local Traffic Manager (LTM) pentru a enumera alte dispozitive care nu sunt expuse pe internet din rețea,” avertizează CISA.
„Un actor de amenințare cibernetic rău intenționat ar putea folosi informațiile colectate din cookie-urile de persistență necriptate pentru a deduce sau identifica resurse de rețea suplimentare și potențial exploata vulnerabilitățile găsite în alte dispozitive prezente în rețea.”
F5 BIG-IP este o suită de instrumente de livrare a aplicațiilor și de gestionare a traficului pentru echilibrarea încărcăturii aplicațiilor web și pentru asigurarea securității.
Unul dintre modulele sale de bază este modulul Local Traffic Manager (LTM), care oferă gestionarea traficului și echilibrarea încărcăturii pentru a distribui traficul de rețea pe mai multe servere. Utilizând această caracteristică, clienții își optimizează resursele de servere echilibrate și disponibilitatea ridicată.
Modulul Local Traffic Manager (LTM) din produs folosește cookie-uri de persistență care ajută la menținerea consistenței sesiunii prin direcționarea traficului de la clienți (browser-e web) către același server backend de fiecare dată, lucru crucial pentru echilibrarea încărcăturii.
„Persistența cookie-urilor impune persistența folosind cookie-uri HTTP,” explică documentația F5.
„La fel ca toate modurile de persistență, cookie-urile HTTP asigură că cererile de la același client sunt direcționate către același membru al pool-ului după ce BIG-IP-ul inițial le echilibrează. Dacă același membru al pool-ului nu este disponibil, sistemul ia o nouă decizie de echilibrare a încărcăturii.”
Aceste cookie-uri sunt necriptate din oficiu, probabil pentru a menține integritatea operațională cu configurațiile mai vechi sau din considerente de performanță.
Începând cu versiunea 11.5.0 și în continuare, administratorilor li s-a oferit o nouă opțiune „Obligatoriu” pentru a impune criptarea tuturor cookie-urilor. Cei care au optat să nu o activeze au fost expuși la riscuri de securitate.
Însă aceste cookie-uri conțin adrese IP codate, numere de port și configurări de echilibrare a încărcăturii ale serverelor interne echilibrate.
Timp de ani de zile, cercetătorii în domeniul ciberneticii au arătat cum cookie-urile necriptate pot fi abuzate pentru a găsi servere interne ascunse anterior sau posibile servere expuse necunoscute care pot fi scanate pentru vulnerabilități și folosite pentru a încălca o rețea internă. De asemenea, a fost lansată o extensie pentru Chrome pentru decodificarea acestor cookie-uri pentru a ajuta administratorii BIG-IP să depaneze conexiunile.
Potrivit CISA, actorii de amenințare deja exploatează acest potențial, profitând de configurațiile slabe pentru descoperirea rețelei.
CISA recomandă administratorilor F5 BIG-IP să revizuiască instrucțiunile furnizate de producător (de asemenea, aici) cu privire la modul de criptare a acestor cookie-uri persistente.
Rețineți că o opțiune intermediară „Preferată” generează cookie-uri criptate, dar permite și sistemului să accepte cookie-uri necriptate. Această setare poate fi utilizată în faza de migrație pentru a permite cookie-urilor emise anterior să continue să funcționeze înainte de a impune cookie-urile criptate.
Când este setat la „Obligatoriu”, toate cookie-urile persistente sunt cifrate folosind o criptare AES-192 puternică.
CISA mai menționează că F5 a dezvoltat un instrument de diagnostic numit ‘BIG-IP iHealth’ proiectat pentru a detecta erorile de configurare pe produs și a avertiza administratorii despre acestea.
CISA spune că vulnerabilitatea critică Fortinet RCE este acum exploatată în atacuri
Vulnerabilitatea critică Ivanti RCE cu exploit public este acum folosită în atacuri
Întreruperea Verizon: iPhone-urile, dispozitivele Android rămase blocate în modul SOS
CISA: Hackerii vizează sistemele industriale folosind „metode nesofisticate”
Malware-ul Infostealer ocolește noile apărări împotriva furtului de cookie-uri ale Chrome-ului
Leave a Reply