A CISA está alertando que atores de ameaças têm abusado de cookies persistentes não criptografados do F5 BIG-IP para identificar e visar outros dispositivos internos na rede alvo.
Mapeando dispositivos internos, atores de ameaça podem potencialmente identificar dispositivos vulneráveis na rede como parte dos estágios de planejamento em ciberataques.
“A CISA observou atores de ameaças cibernéticas aproveitando cookies persistentes não criptografados gerenciados pelo módulo Local Traffic Manager (LTM) do F5 BIG-IP para enumerar outros dispositivos que não estão voltados para a internet na rede”, alerta a CISA.
Um ator de ameaça cibernética pode aproveitar as informações coletadas de cookies de persistência não criptografados para inferir ou identificar recursos adicionais de rede e potencialmente explorar vulnerabilidades encontradas em outros dispositivos presentes na rede.
O F5 BIG-IP é um conjunto de ferramentas de entrega de aplicativos e gerenciamento de tráfego para balanceamento de carga em aplicações web e para providenciar segurança.
Um de seus módulos centrais é o módulo Local Traffic Manager (LTM), que fornece gerenciamento de tráfego e balanceamento de carga para distribuir o tráfego de rede entre vários servidores.
Usando essa funcionalidade, os clientes otimizam seus recursos de servidores balanceados por carga e alta disponibilidade.
O módulo Local Traffic Manager (LTM) dentro do produto utiliza cookies de persistência que ajudam a manter a consistência da sessão direcionando o tráfego de clientes (navegadores web) para o mesmo servidor backend cada vez, o que é crucial para o balanceamento de carga.
“A persistência de cookie impõe persistência usando HTTP cookies”, explica a documentação da F5.
Como em todos os modos de persistência, os cookies HTTP garantem que as solicitações do mesmo cliente sejam direcionadas para o mesmo membro do pool após o sistema BIG-IP inicialmente balanceá-las por carga.
Se o mesmo membro do pool não estiver disponível, o sistema toma uma nova decisão de balanceamento de carga.
Esses cookies são não criptografados por padrão, provavelmente para manter a integridade operacional com configurações legadas ou devido a considerações de desempenho.
A partir da versão 11.5.0 em diante, administradores receberam uma nova opção "Obrigatório" para impor criptografia em todos os cookies.
Aqueles que optaram por não habilitá-la ficaram expostos a riscos de segurança.
Contudo, esses cookies contêm endereços IP codificados, números de porta e configurações de balanceamento de carga dos servidores internos balanceados por carga.
Por anos, pesquisadores de cibersegurança compartilharam como os cookies não criptografados podem ser abusados para encontrar servidores internos previamente ocultos ou possíveis servidores expostos desconhecidos que podem ser escaneados para vulnerabilidades e usados para violar uma rede interna.
Uma extensão do Chrome também foi lançada para decodificar esses cookies para ajudar os administradores do BIG-IP a solucionarem problemas de conexões.
De acordo com a CISA, atores de ameaça já estão explorando esse potencial, explorando configurações laxistas para descoberta na rede.
A CISA recomenda que administradores do F5 BIG-IP revisem as instruções do fornecedor (também aqui) sobre como criptografar esses cookies persistentes.
Note que uma opção de configuração intermediária "Preferido" gera cookies criptografados mas também permite que o sistema aceite cookies não criptografados.
Essa configuração pode ser usada durante a fase de migração para permitir que cookies emitidos anteriormente continuem funcionando antes de impor cookies criptografados.
Quando ajustado para "Obrigatório", todos os cookies persistentes são cifrados usando a forte criptografia AES-192.
A CISA também nota que a F5 desenvolveu uma ferramenta de diagnóstico chamada 'BIG-IP iHealth' desenhada para detectar configurações erradas no produto e alertar os administradores sobre elas.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...