Cybercommando VS adviseert ernstig lek in F5 BIG-IP direct te patchen
Het cybercommando van de Amerikaanse overheid heeft organisaties geadviseerd om een ernstige kwetsbaarheid in de BIG-IP application delivery controller (ADC) van fabrikant F5 direct te patchen en niet tot na het weekend te wachten. Een kwetsbaarheid in de interface om het apparaat mee te configureren maak het mogelijk voor een aanvaller om op afstand code uit te voeren.
Zo kan een aanvaller willekeurige systeemcommando's uitvoeren, bestanden aanmaken of verwijderen, services uitschakelen en willekeurige Java-code uitvoeren. Via het beveiligingslek, dat op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 is beoordeeld, kan een aanvaller volledige controle over het systeem krijgen, aldus F5. De application delivery controller is een apparaat dat wordt geplaatst in een datacentrum tussen de firewall en één of meer applicatieservers. Dergelijke systemen moeten de belasting over meerdere servers verdelen en de prestaties van de applicatie verbeteren.
Alleen het versturen van een speciaal geprepareerd http-request naar de Traffic Management User Interface (TMUI) voor het configureren van de BIG-IP is voldoende om de aanval uit te voeren. De kwetsbaarheid werd ontdekt door securitybedrijf Positive Technologies, dat eerder ook een zeer ernstig beveiligingslek in Citrix ontdekte. Er zijn op dit moment zo'n 8500 kwetsbare systemen op internet te vinden. Organisaties wordt aangeraden om naar een nieuwere versie van de BIG-IP-software te updaten.
Naast het ernstige beveiligingslek (CVE-2020-5902) is ook een andere kwetsbaarheid in de software verholpen waarmee een cross-site scriptingaanval was uit te voeren. Ook via deze aanval zou het mogelijk zijn om een BIG-IP over te nemen. Gisterenavond verstuurde het U.S. Cyber Command, een afdeling van het Pentagon dat zich met cyberoperaties bezighoudt, een tweet waarin organisaties wordt opgeroepen om de update meteen te installeren en hier niet mee te wachten.
Het cybercommando krijgt bijval van Nate Warfield, een voormalig medewerker van F5 en tegenwoordig werkzaam voor het Microsoft Security Response Center. Warfield stelt dat het belang om snel te patchen niet onderschat mag worden. Een aanvaller die een systeem weet te compromitteren zou onversleuteld verkeer binnen het apparaat kunnen bekijken.
Dit soort management interfaces moeten nooit internet facing zijn [PUNT]
Dit soort management interfaces moeten nooit internet facing zijn [PUNT]
In sommige situaties is dit een core netwerk onderdeel dat in een verweg-datacenter staat, toch lastig om niet iets te organiseren dat remote bereikbaar is.
In sommige situaties is dit een core netwerk onderdeel dat in een verweg-datacenter staat, toch lastig om niet iets te organiseren dat remote bereikbaar is.
IP whitelisting, extra firewall. Als je een F5 in je datacenter hebt hangen, heb je ook de mogelijkheid door de meest goedkope firewall te gebruiken voor je Management netwerk. PUNT.
Dit soort management interfaces moeten nooit internet facing zijn [PUNT]
In sommige situaties is dit een core netwerk onderdeel dat in een verweg-datacenter staat, toch lastig om niet iets te organiseren dat remote bereikbaar is.
Kuch... Iets met een jump server misschien?
Dit soort management interfaces moeten nooit internet facing zijn [PUNT]
In sommige situaties is dit een core netwerk onderdeel dat in een verweg-datacenter staat, toch lastig om niet iets te organiseren dat remote bereikbaar is.
Uiteindelijk moet je iets -- want een separaat darkfiber management netwerk hebben er niet veel.
Er is wel een verschil tussen 'management bereikbaar over Internet' en 'management bereikbaar voor een handvol internet adressen' .
Hoe complexer het protocol, des te groter de kans op bugs. Een simpel packetfilter kan weinig mee misgaan, en beperkt de exposure van je complexe protocol - en de race met zero-day exploiters van "de hele wereld" naar een heel veel beperkte set van adressen.
Client certificaten voegen wat toe tegen password guessers, maar helemaal niets tegen bugs in de implementatie .
Je kunt ook zeggen "via VPN" - in dat geval is je vpn appliance (met ook een erg complex protocol) het risico geval geworden - historisch ook niet perfect.
Dit soort management interfaces moeten nooit internet facing zijn [PUNT]
In sommige situaties is dit een core netwerk onderdeel dat in een verweg-datacenter staat, toch lastig om niet iets te organiseren dat remote bereikbaar is.
Misschien achter een deftige vpn muur plaatsen? managment interfaces zijn bij mij nooit internet facing. Draai maar eens een tijdje snort of suricata en je kunt het zelf zien of aantonen aan de leidinggevende of manager.
M.vr.gr
Sebastiaan.
Dit soort management interfaces moeten nooit internet facing zijn [PUNT]
In sommige situaties is dit een core netwerk onderdeel dat in een verweg-datacenter staat, toch lastig om niet iets te organiseren dat remote bereikbaar is.
Hier is hoe we het gebruiken:
Een eigen CA is gebruikt voor het maken van server en client certificate.
De server kant is haproxy die client authentication verzorgt en dan de verbinding mogelijk maakt naar bijvoorbeeld F5, oid. De server heeft dus een cert van de eigen CA.
De client kant is: een nieuwe browser sessie wordt gebruikt (dus als meestalje Firefox gebruikt, gebruik je Chrome voor beheer van F5, etc.) met eigen CA cert toegevoegd voor validatie door de browser.
De private key van de client staat op een Yubikey die vraagt om een passphrase by gebruik van het client authentication.
Het inloggen op F5, oid. via username/password formulier gaat via persoonlijk admin account, geen algemeen account.
haproxy doet een certificate check voor het verbinden met de F5.
Ik ben dan toch benieuwd wat jullie hieraan dan niet veilig vinden ?
Dit soort management interfaces moeten nooit internet facing zijn [PUNT]
In sommige situaties is dit een core netwerk onderdeel dat in een verweg-datacenter staat, toch lastig om niet iets te organiseren dat remote bereikbaar is.
Dat is wordpress admin prietpraat niveau. Niet dus, via tunnels of noem het maar.
Hier is hoe we het gebruiken:
Een eigen CA is gebruikt voor het maken van server en client certificate.
De server kant is haproxy die client authentication verzorgt en dan de verbinding mogelijk maakt naar bijvoorbeeld F5, oid. De server heeft dus een cert van de eigen CA.
De client kant is: een nieuwe browser sessie wordt gebruikt (dus als meestalje Firefox gebruikt, gebruik je Chrome voor beheer van F5, etc.) met eigen CA cert toegevoegd voor validatie door de browser.
De private key van de client staat op een Yubikey die vraagt om een passphrase by gebruik van het client authentication.
Het inloggen op F5, oid. via username/password formulier gaat via persoonlijk admin account, geen algemeen account.
haproxy doet een certificate check voor het verbinden met de F5.
Ik ben dan toch benieuwd wat jullie hieraan dan niet veilig vinden ?
Je weet toch niet wat de exploit is of word? Dus stel je doet een update en client cert wordt niet gevalideert? Je moet altijd beveiliging hebben op verschillende niveaus. Als je dus een management server hebt, log je daar in en regel je alles vanaf daar met dezelfde beveiling + access toestaan vanaf alleen dat ip.
Dan heb je maar een internet facing port/service die je goed moet monitoren, en als dat iets als ssh is weet iig dat die gasten het wel op orde hebben. Immers kleine 'simpele' core business applicatie.
Web interfaces zijn maar bijzaak vaak en worden ook als zodanig geprogrammeerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
