BlogcybersecurityF5 BIG-IPF5 NetworkshackingKDC SpoofingKerberosVulnerability

F5 BIG-IP es vulnerable a la vulnerabilidad de suplantación de KDC de Kerberos

Los investigadores de ciberseguridad revelaron el miércoles una nueva vulnerabilidad de derivación (CVE-2021-23008) en la función de seguridad del Centro de distribución de claves Kerberos (KDC) que afecta los servicios de entrega de aplicaciones F5 Big-IP.

“La vulnerabilidad de suplantación de identidad de KDC permite que un atacante omita la autenticación Kerberos en el Administrador de políticas de acceso (APM) de Big-IP, omita las políticas de seguridad y obtenga acceso sin restricciones a cargas de trabajo confidenciales”. Silverfort Los investigadores Yaron Kassner y Rotem Zach dijeron en un informe. “En algunos casos, esto también se puede utilizar para omitir la autenticación en la consola de administración de Big-IP”.

Coincidiendo con la divulgación pública, F5 Networks ha lanzado parches para abordar la debilidad (CVE-2021-23008, CVSS score 8.1), con correcciones introducidas en las versiones 12.1.6, 13.1.4, 14.1.4 y 15.1 de BIG-IP APM .3. Se espera un parche similar para la versión 16.x en una fecha futura.

“Recomendamos a los clientes que ejecuten 16.x que revisen aviso de seguridad para evaluar su exposición y obtener detalles sobre las mitigaciones de la vulnerabilidad “, dijo F5 a The Hacker News por correo electrónico. Como soluciones, la empresa recomienda configurar la autenticación multifactor (MFA) o implementar un Túnel IPSec entre el sistema BIG-IP APM afectado y los servidores de Active Directory.

Kerberos es un protocolo de autenticación que se basa en un modelo cliente-servidor para la autenticación mutua y requiere un intermediario confiable llamado Centro de distribución de claves (KDC), Un servidor de autenticación Kerberos (AS) o un servidor de concesión de tickets en este caso, que actúa como un depósito de claves secretas compartidas de todos los usuarios, así como información sobre qué usuarios tienen privilegios de acceso a qué servicios en qué servidores de red.

Por lo tanto, cuando un usuario, digamos Alice, quiere acceder a un servicio en particular en un servidor (Bob), se le pide a Alice que proporcione su nombre de usuario y contraseña para verificar su identidad, después de lo cual el AS verifica si Alice tiene privilegios de acceso a Bob, y si por lo tanto, emita un “ticket” que permita al usuario utilizar el servicio hasta su fecha de vencimiento.

También es esencial como parte del proceso la autenticación de KDC en el servidor, en cuyo caso la seguridad de Kerberos se ve comprometida, lo que permite que un atacante tenga la capacidad de secuestrar la comunicación de red entre Big-IP y el controlador de dominio. (que es el KDC) para eludir la autenticación por completo.

En pocas palabras, la idea es que cuando el protocolo Kerberos se implementa de la manera correcta, un adversario que intenta hacerse pasar por el KDC no puede eludir las protecciones de autenticación. El ataque de suplantación, por lo tanto, depende de la posibilidad de que existan configuraciones Kerberos inseguras para secuestrar la comunicación entre el cliente y el controlador de dominio, aprovechándola para crear un KDC fraudulento que desvía el tráfico destinado al controlador al KDC falso. y posteriormente autenticarse ante el cliente.

“Un atacante remoto puede secuestrar una conexión KDC utilizando una respuesta AS-REP falsificada”, señaló F5 Networks en la alerta. “Para una política de acceso APM configurada con autenticación AD y agente SSO (inicio de sesión único), si se usa una credencial falsificada relacionada con esta vulnerabilidad, dependiendo de cómo el sistema back-end valida el token de autenticación que recibe, es muy probable que el acceso falle . También se puede configurar una política de acceso de APM para la autenticación del sistema BIG-IP. Una credencial falsificada relacionada con esta vulnerabilidad para un usuario administrativo a través de la política de acceso de APM da como resultado un acceso administrativo local “.

Esta es la cuarta falla de suplantación de identidad descubierta por Silverfort después de descubrir problemas similares en Cisco ASA (CVE-2020-3125), Palo Alto Networks PAN-OS (CVE-2020-2002) e IBM QRadar (CVE-2019-4545) el año pasado.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar