image

Cybercommando VS adviseert ernstig lek in F5 BIG-IP direct te patchen

zaterdag 4 juli 2020, 16:52 door Redactie, 13 reacties

Het cybercommando van de Amerikaanse overheid heeft organisaties geadviseerd om een ernstige kwetsbaarheid in de BIG-IP application delivery controller (ADC) van fabrikant F5 direct te patchen en niet tot na het weekend te wachten. Een kwetsbaarheid in de interface om het apparaat mee te configureren maak het mogelijk voor een aanvaller om op afstand code uit te voeren.

Zo kan een aanvaller willekeurige systeemcommando's uitvoeren, bestanden aanmaken of verwijderen, services uitschakelen en willekeurige Java-code uitvoeren. Via het beveiligingslek, dat op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 is beoordeeld, kan een aanvaller volledige controle over het systeem krijgen, aldus F5. De application delivery controller is een apparaat dat wordt geplaatst in een datacentrum tussen de firewall en één of meer applicatieservers. Dergelijke systemen moeten de belasting over meerdere servers verdelen en de prestaties van de applicatie verbeteren.

Alleen het versturen van een speciaal geprepareerd http-request naar de Traffic Management User Interface (TMUI) voor het configureren van de BIG-IP is voldoende om de aanval uit te voeren. De kwetsbaarheid werd ontdekt door securitybedrijf Positive Technologies, dat eerder ook een zeer ernstig beveiligingslek in Citrix ontdekte. Er zijn op dit moment zo'n 8500 kwetsbare systemen op internet te vinden. Organisaties wordt aangeraden om naar een nieuwere versie van de BIG-IP-software te updaten.

Naast het ernstige beveiligingslek (CVE-2020-5902) is ook een andere kwetsbaarheid in de software verholpen waarmee een cross-site scriptingaanval was uit te voeren. Ook via deze aanval zou het mogelijk zijn om een BIG-IP over te nemen. Gisterenavond verstuurde het U.S. Cyber Command, een afdeling van het Pentagon dat zich met cyberoperaties bezighoudt, een tweet waarin organisaties wordt opgeroepen om de update meteen te installeren en hier niet mee te wachten.

Het cybercommando krijgt bijval van Nate Warfield, een voormalig medewerker van F5 en tegenwoordig werkzaam voor het Microsoft Security Response Center. Warfield stelt dat het belang om snel te patchen niet onderschat mag worden. Een aanvaller die een systeem weet te compromitteren zou onversleuteld verkeer binnen het apparaat kunnen bekijken.

Image

Reacties (13)
04-07-2020, 22:49 door souplost
Oei ...
04-07-2020, 23:43 door Anoniem
Tip: toen wij F5 hadden hebben we de beheer interface ook aan het Internet gehangen, maar wel achter HTTPS met Client-certificate authentication.
05-07-2020, 10:03 door Anoniem
Door Anoniem: Tip: toen wij F5 hadden hebben we de beheer interface ook aan het Internet gehangen, maar wel achter HTTPS met Client-certificate authentication.

Dit soort management interfaces moeten nooit internet facing zijn [PUNT]
05-07-2020, 12:13 door Anoniem
Door Anoniem:
Door Anoniem: Tip: toen wij F5 hadden hebben we de beheer interface ook aan het Internet gehangen, maar wel achter HTTPS met Client-certificate authentication.

Dit soort management interfaces moeten nooit internet facing zijn [PUNT]

In sommige situaties is dit een core netwerk onderdeel dat in een verweg-datacenter staat, toch lastig om niet iets te organiseren dat remote bereikbaar is.
05-07-2020, 12:31 door Anoniem
Door Anoniem: Tip: toen wij F5 hadden hebben we de beheer interface ook aan het Internet gehangen, maar wel achter HTTPS met Client-certificate authentication.
TIP: Dit is echt wel basis fuckups. Leuk een client certificaat, voor op papier. Dit is echt basic NIET DOEN.

Door Anoniem:
In sommige situaties is dit een core netwerk onderdeel dat in een verweg-datacenter staat, toch lastig om niet iets te organiseren dat remote bereikbaar is.
NEE.... Lastig mag not een antwoord zijn.
IP whitelisting, extra firewall. Als je een F5 in je datacenter hebt hangen, heb je ook de mogelijkheid door de meest goedkope firewall te gebruiken voor je Management netwerk. PUNT.
05-07-2020, 13:06 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Tip: toen wij F5 hadden hebben we de beheer interface ook aan het Internet gehangen, maar wel achter HTTPS met Client-certificate authentication.

Dit soort management interfaces moeten nooit internet facing zijn [PUNT]

In sommige situaties is dit een core netwerk onderdeel dat in een verweg-datacenter staat, toch lastig om niet iets te organiseren dat remote bereikbaar is.

Kuch... Iets met een jump server misschien?
05-07-2020, 13:13 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Tip: toen wij F5 hadden hebben we de beheer interface ook aan het Internet gehangen, maar wel achter HTTPS met Client-certificate authentication.

Dit soort management interfaces moeten nooit internet facing zijn [PUNT]

In sommige situaties is dit een core netwerk onderdeel dat in een verweg-datacenter staat, toch lastig om niet iets te organiseren dat remote bereikbaar is.

Uiteindelijk moet je iets -- want een separaat darkfiber management netwerk hebben er niet veel.

Er is wel een verschil tussen 'management bereikbaar over Internet' en 'management bereikbaar voor een handvol internet adressen' .

Hoe complexer het protocol, des te groter de kans op bugs. Een simpel packetfilter kan weinig mee misgaan, en beperkt de exposure van je complexe protocol - en de race met zero-day exploiters van "de hele wereld" naar een heel veel beperkte set van adressen.
Client certificaten voegen wat toe tegen password guessers, maar helemaal niets tegen bugs in de implementatie .

Je kunt ook zeggen "via VPN" - in dat geval is je vpn appliance (met ook een erg complex protocol) het risico geval geworden - historisch ook niet perfect.
05-07-2020, 14:05 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Tip: toen wij F5 hadden hebben we de beheer interface ook aan het Internet gehangen, maar wel achter HTTPS met Client-certificate authentication.

Dit soort management interfaces moeten nooit internet facing zijn [PUNT]

In sommige situaties is dit een core netwerk onderdeel dat in een verweg-datacenter staat, toch lastig om niet iets te organiseren dat remote bereikbaar is.

Misschien achter een deftige vpn muur plaatsen? managment interfaces zijn bij mij nooit internet facing. Draai maar eens een tijdje snort of suricata en je kunt het zelf zien of aantonen aan de leidinggevende of manager.

M.vr.gr
Sebastiaan.
05-07-2020, 16:24 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Tip: toen wij F5 hadden hebben we de beheer interface ook aan het Internet gehangen, maar wel achter HTTPS met Client-certificate authentication.

Dit soort management interfaces moeten nooit internet facing zijn [PUNT]

In sommige situaties is dit een core netwerk onderdeel dat in een verweg-datacenter staat, toch lastig om niet iets te organiseren dat remote bereikbaar is.
VPN met 2FA?
05-07-2020, 17:39 door souplost
natuurlijk mag zo'n management console nooit via het internet bereikbaar zijn. Hooguit via een jumpserver.
06-07-2020, 12:25 door Anoniem
Sommigen hier zeggen: client certificate authentication is niet veilig.

Hier is hoe we het gebruiken:

Een eigen CA is gebruikt voor het maken van server en client certificate.

De server kant is haproxy die client authentication verzorgt en dan de verbinding mogelijk maakt naar bijvoorbeeld F5, oid. De server heeft dus een cert van de eigen CA.

De client kant is: een nieuwe browser sessie wordt gebruikt (dus als meestalje Firefox gebruikt, gebruik je Chrome voor beheer van F5, etc.) met eigen CA cert toegevoegd voor validatie door de browser.

De private key van de client staat op een Yubikey die vraagt om een passphrase by gebruik van het client authentication.

Het inloggen op F5, oid. via username/password formulier gaat via persoonlijk admin account, geen algemeen account.

haproxy doet een certificate check voor het verbinden met de F5.

Ik ben dan toch benieuwd wat jullie hieraan dan niet veilig vinden ?
06-07-2020, 17:11 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Tip: toen wij F5 hadden hebben we de beheer interface ook aan het Internet gehangen, maar wel achter HTTPS met Client-certificate authentication.

Dit soort management interfaces moeten nooit internet facing zijn [PUNT]

In sommige situaties is dit een core netwerk onderdeel dat in een verweg-datacenter staat, toch lastig om niet iets te organiseren dat remote bereikbaar is.

Dat is wordpress admin prietpraat niveau. Niet dus, via tunnels of noem het maar.
06-07-2020, 17:21 door Anoniem
Door Anoniem: Sommigen hier zeggen: client certificate authentication is niet veilig.

Hier is hoe we het gebruiken:

Een eigen CA is gebruikt voor het maken van server en client certificate.

De server kant is haproxy die client authentication verzorgt en dan de verbinding mogelijk maakt naar bijvoorbeeld F5, oid. De server heeft dus een cert van de eigen CA.

De client kant is: een nieuwe browser sessie wordt gebruikt (dus als meestalje Firefox gebruikt, gebruik je Chrome voor beheer van F5, etc.) met eigen CA cert toegevoegd voor validatie door de browser.

De private key van de client staat op een Yubikey die vraagt om een passphrase by gebruik van het client authentication.

Het inloggen op F5, oid. via username/password formulier gaat via persoonlijk admin account, geen algemeen account.

haproxy doet een certificate check voor het verbinden met de F5.

Ik ben dan toch benieuwd wat jullie hieraan dan niet veilig vinden ?

Je weet toch niet wat de exploit is of word? Dus stel je doet een update en client cert wordt niet gevalideert? Je moet altijd beveiliging hebben op verschillende niveaus. Als je dus een management server hebt, log je daar in en regel je alles vanaf daar met dezelfde beveiling + access toestaan vanaf alleen dat ip.
Dan heb je maar een internet facing port/service die je goed moet monitoren, en als dat iets als ssh is weet iig dat die gasten het wel op orde hebben. Immers kleine 'simpele' core business applicatie.
Web interfaces zijn maar bijzaak vaak en worden ook als zodanig geprogrammeerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.