Η ανάγκη για προστασία από τους χάκερ που χρησιμοποιούν τα cookies F5 BIG-IP

Η CISA προειδοποιεί ότι οι παράγοντες απειλών έχουν παρατηρηθεί να κάνουν κατάχρηση μη κρυπτογραφημένων μόνιμα cookies F5 BIG-IP για τον εντοπισμό και τη στόχευση άλλων εσωτερικών συσκευών στο στοχευμένο δίκτυο.

Χαρτογραφώντας εσωτερικές συσκευές, οι φορείς απειλών μπορούν ενδεχομένως να εντοπίσουν ευάλωτες συσκευές στο δίκτυο ως μέρος των σταδίων σχεδιασμού σε κυβερνοεπιθέσεις.

“Η CISA παρατήρησε φορείς απειλών στον κυβερνοχώρο που αξιοποιούν μη κρυπτογραφημένα μόνιμα cookie που διαχειρίζονται η μονάδα F5 BIG-IP Local Traffic Manager (LTM) για να απαριθμήσουν άλλες συσκευές που δεν αντιμετωπίζουν το Διαδίκτυο στο δίκτυο.” προειδοποιεί η CISA.

“Ένας κακόβουλος κυβερνοχώρος θα μπορούσε να αξιοποιήσει τις πληροφορίες που συλλέγονται από μη κρυπτογραφημένα cookie επιμονής για να συμπεράνει ή να εντοπίσει πρόσθετους πόρους δικτύου και ενδεχομένως να εκμεταλλευτεί ευπάθειες που βρίσκονται σε άλλες συσκευές που υπάρχουν στο δίκτυο.”

Cookies μόνιμης περιόδου λειτουργίας F5

Το F5 BIG-IP είναι μια σουίτα εργαλείων παράδοσης εφαρμογών και διαχείρισης κίνησης για εφαρμογές Ιστού εξισορρόπησης φορτίου και για παροχή ασφάλειας.

Μία από τις βασικές ενότητες του είναι η μονάδα Local Traffic Manager (LTM), η οποία παρέχει διαχείριση κυκλοφορίας και εξισορρόπηση φορτίου για τη διανομή της κυκλοφορίας δικτύου σε πολλούς διακομιστές. Χρησιμοποιώντας αυτήν τη δυνατότητα, οι πελάτες βελτιστοποιούν τους πόρους διακομιστών με ισορροπημένο φορτίο και την υψηλή διαθεσιμότητα.

Η λειτουργική μονάδα Local Traffic Manager (LTM) εντός του προϊόντος χρησιμοποιεί cookie επιμονής που βοηθούν στη διατήρηση της συνέπειας της περιόδου λειτουργίας κατευθύνοντας την κίνηση από πελάτες (προγράμματα περιήγησης ιστού) στον ίδιο διακομιστή υποστήριξης κάθε φορά, κάτι που είναι ζωτικής σημασίας για την εξισορρόπηση φορτίου.

“Η επιμονή των cookie επιβάλλει την επιμονή χρησιμοποιώντας cookie HTTP”, εξηγεί τεκμηρίωση του F5.

“Όπως συμβαίνει με όλες τις λειτουργίες επιμονής, τα cookie HTTP διασφαλίζουν ότι τα αιτήματα από τον ίδιο πελάτη κατευθύνονται στο ίδιο μέλος ομάδας αφού το σύστημα BIG-IP τα εξισορροπήσει αρχικά. Εάν το ίδιο μέλος ομάδας δεν είναι διαθέσιμο, το σύστημα πραγματοποιεί νέα φόρτωση εξισορροπητική απόφαση».

Αυτά τα cookies δεν είναι κρυπτογραφημένα από προεπιλογή, είναι πιθανό να διατηρήσουν λειτουργική ακεραιότητα με διαμορφώσεις παλαιού τύπου ή λόγω παραμέτρων απόδοσης.

Από την έκδοση 11.5.0 και μετά, δόθηκε στους διαχειριστές μια νέα επιλογή “Απαιτείται” για την επιβολή κρυπτογράφησης σε όλα τα cookies. Όσοι επέλεξαν να μην το ενεργοποιήσουν εκτέθηκαν σε κινδύνους για την ασφάλεια.

Ωστόσο, αυτά τα cookie περιέχουν κωδικοποιημένες διευθύνσεις IP, αριθμούς θυρών και ρυθμίσεις εξισορρόπησης φορτίου των εσωτερικών διακομιστών εξισορρόπησης φορτίου.

Για χρόνια, ερευνητές κυβερνοασφάλειας έχουν μοιραστεί πώς μπορεί να γίνει κατάχρηση των μη κρυπτογραφημένων cookie για την εύρεση προηγουμένως κρυμμένων εσωτερικών διακομιστών ή πιθανών άγνωστων εκτεθειμένων διακομιστών που μπορούν να σαρωθούν για τρωτά σημεία και να χρησιμοποιηθούν για την παραβίαση ενός εσωτερικού δικτύου. ΕΝΑ Επέκταση Chrome κυκλοφόρησε επίσης για την αποκωδικοποίηση αυτών των cookies για να βοηθήσει τους διαχειριστές BIG-IP να αντιμετωπίσουν προβλήματα συνδέσεων.

Σύμφωνα με την CISA, οι φορείς απειλών εκμεταλλεύονται ήδη αυτό το δυναμικό, εκμεταλλευόμενοι χαλαρές διαμορφώσεις για την ανακάλυψη δικτύου.

Η CISA συνιστά στους διαχειριστές του F5 BIG-IP να ελέγξουν το οδηγίες του πωλητή (επίσης εδώ) για το πώς να κρυπτογραφήσετε αυτά τα μόνιμα cookie.

Λάβετε υπόψη ότι μια επιλογή διαμόρφωσης “Προτιμώμενο” στο μεσαίο σημείο δημιουργεί κρυπτογραφημένα cookie αλλά επιτρέπει επίσης στο σύστημα να δέχεται μη κρυπτογραφημένα cookie. Αυτή η ρύθμιση μπορεί να χρησιμοποιηθεί κατά τη φάση της μετεγκατάστασης για να επιτρέψει στα cookie που είχαν εκδοθεί προηγουμένως να συνεχίσουν να λειτουργούν πριν από την επιβολή κρυπτογραφημένων cookie.

Όταν οριστεί σε “Απαιτείται”, όλα τα μόνιμα cookie κρυπτογραφούνται χρησιμοποιώντας ισχυρή κρυπτογράφηση AES-192.

Η CISA σημειώνει επίσης ότι η F5 έχει αναπτύξει ένα διαγνωστικό εργαλείο με το όνομα «BIG-IP iHealth‘ έχει σχεδιαστεί για να εντοπίζει εσφαλμένες διαμορφώσεις στο προϊόν και να προειδοποιεί τους διαχειριστές για αυτές.