F5 Big-IP 存在 KDC 欺騙漏洞，攻擊者可完全控制系統

名為CVE-2021-23008的KDC欺騙漏洞可用于繞過Kerberos安全性并登錄到Big-IP訪問策略管理器或管理控制臺。

研究人員透露，F5 Networks的Big-IP應用程序交付服務設備包含一個KDC欺騙漏洞，攻擊者可以利用該漏洞擺脫保護敏感工作負載的安全措施。

Silverfort的研究人員說，特別是，攻擊者可能利用此漏洞（跟蹤為CVE-2021-23008）繞過Kerberos安全性并登錄到Big-IP訪問策略管理器。Kerberos是一種網絡身份驗證協議，旨在通過使用密鑰加密為客戶端/服務器應用程序提供強身份驗證。他們補充說，在某些情況下，該漏洞還可用于繞過Big-IP管理控制臺的身份驗證。

無論哪種情況，網絡犯罪分子都可以在沒有合法憑據的情況下不受限制地訪問Big-IP應用程序。

潛在的影響可能是巨大的：F5為世界上一些最大的科技公司（包括Facebook，Microsoft和Oracle）以及眾多財富500強公司（包括一些世界上最大的金融機構和ISP）提供企業網絡。

CVE-2021-23008

該漏洞特別存在于設備的核心軟件組件之一中：訪問策略管理器（APM）。它管理和強制執行訪問策略，即確保所有用戶均已通過身份驗證并有權使用給定的應用程序。Silverfort研究人員指出，有時也會使用APM來保護對Big-IP管理控制臺的訪問。

他們解釋說，APM將Kerberos實現為APM策略要求的身份驗證的身份驗證協議。

研究人員在周四發布的博客中說：“當用戶通過Big-IP訪問應用程序時，可能會看到一個強制門戶，要求他們輸入用戶名和密碼。” “用戶名和密碼已通過Kerberos協議針對Active Directory進行了驗證，以確保用戶就是他們所聲稱的身份。”

在此過程中，用戶實質上是對服務器進行身份驗證，而服務器又對客戶端進行身份驗證。為了正常工作，KDC還必須向服務器進行身份驗證。KDC是一項網絡服務，向Active Directory域內的用戶和計算機提供會話票證和臨時會話密鑰。

研究人員說：“顯然，對服務器的KDC身份驗證經常被忽略。” “也許是因為需要它使配置要求變得復雜。但是，如果KDC不對服務器進行身份驗證，則該協議的安全性將完全受到損害，從而使劫持網絡流量的攻擊者可以使用任何密碼（甚至是無效的密碼）向Big-IP進行身份驗證。”

F5的針對訪問策略配置Active Directory身份驗證的說明不包括此最后一步。

“當用戶嘗試向位于代理后面的應用進行身份驗證時，將向該用戶輸入用戶名和密碼。當用戶輸入密碼時，產品將使用Kerberos對域控制器（DC）進行身份驗證。但是，APM不會請求服務憑單，而是基于成功的AS_REP授予訪問權限。”

另外，F5允許用戶配置管理員用戶名和密碼，如果用來對DC進行身份驗證，則可以防止此漏洞。F，在F5的設置中，不會發生這種情況。

Silverfort表示：“但是，它不是用于這些目的，而是僅用于獲取主要或嵌套組，提示用戶進行密碼更改或執行復雜性檢查或密碼重置的目的。”

開發方案

根據星期四發布的F5的建議，要使攻擊起作用，就要求攻擊者已經在目標環境中。

“ BIG-IP APM AD（Active Directory）身份驗證可以使用通過劫持的KDC（Kerberos密鑰分發中心）連接發送的欺騙性AS-REP（Kerberos身份驗證服務響應）響應來繞過，也可以通過攻擊者入侵的AD服務器繞過BIG-IP APM AD（Active Directory）身份驗證，咨詢讀。

但是，初始訪問可能并不那么困難：3月，F5的BIG-IP和BIG-IQ企業網絡基礎結構中的四個關鍵遠程命令執行（RCE）漏洞暴露出來，這些漏洞可能使攻擊者能夠完全控制易受攻擊的系統。一周后，研究人員報告了對該漏洞的大規模掃描和利用。

無論如何，Silverfort假設攻擊者可以劫持Big-IP與DC之間的網絡通信的能力，從而設計出了攻擊者可以采取的欺騙DC的步驟來繞過這種身份驗證：

他們解釋說：“我們通過將Big IP和端口88（Kerberos端口）上的KDC（在本例中為域控制器）之間的流量重定向到我們自己的Windows Server，來模擬攻擊。” “我們在Windows服務器上設置了一個偽造的域，并確保在真實域中有一個與Big-IP管理員具有相同[用戶ID]的用戶。我們在該偽造域中將該用戶的密碼配置為“ 1”。”

然后，在將流量轉移到偽造的DC的情況下登錄時，將使用密碼“ 1”登錄。

如何防止 F5 BIG-IP 攻擊

F5發布了更新，應將其應用。

此外，管理員應啟用Silverfort建議的多因素身份驗證，并持續監視Kerberos身份驗證。

他們說：“尋找僅請求AS_REQ的資源。” “如果沒有TGS_REQ，那就是一個危險信號。”

F5指出，利用漏洞的可能性取決于配置選擇。

“對于配置了AD身份驗證和SSO（單點登錄）代理的APM訪問策略，如果使用了與此漏洞相關的欺騙性憑據，則取決于后端系統如何驗證其收到的身份驗證令牌，訪問很可能會失敗”，根據該咨詢。“還可以為AIG訪問策略配置BIG-IP系統身份驗證。通過APM訪問策略為管理用戶提供的與此漏洞相關的欺騙性憑據將導致本地管理訪問。”

根據Silverfort的說法，管理員還應驗證Kerberos的實現是否需要密碼或密鑰表：“要驗證DC，您需要使用某種共享密鑰。如果您的解決方案不允許配置密鑰表文件或服務帳戶密碼，則該應用程序肯定會受到KDC欺騙的影響。”