Corpus Solutions

CYBERSECURITY EXPERTS
EN
☰ Menu

Corpus Solutions Security Advisory: TICKETBLEED 1.0

14. 02. 2017

Jedná se o zranitelnost virtuálního serveru BIG-IP. Zranitelnost umožňuje útočníkovi extrahovat 31 bajtů neinicializované paměti, díku tomu může útočník ve správnou chvíli získat citlivá data, tato zranitelnost je označována jako ticketbleed. (CVE-2016-9244)

Zranitelnost spočívá v implementaci „Session ticketu“, který slouží k rychlému obnovení komunikace. Ve chvíli kdy klient zašle „Session ID“ společně s „Session ticketem“, server odpoví pomocí „Session ID“. Velikost „Session ID“ je v rozmezí 1 – 31 bajtů.

Bohužel zásobník F5ky vždy vrací celou svoji hodnotu, což je 32 bajtů a to i v případě, že „Session ID“ je menší. Útočníkovi tedy stačí jeden bajt k tomu, aby ze zařízení získal 31 bajtů neinicializované paměti.

K ověření zranitelnosti vašeho zařízení lze použít následující kód:
https://gist.github.com/FiloSottile/fc7822b1f5b475a25e58d77d1b394860

Detekce

Tato zranitelnost může být monitorována pomocí pasivního monitorování síťového toku, kde je „Session ID“ v nekryptované podobě.

Naštěstí většina výrobců IDS je schopna detekovat „Session ID“ kratší než 32 bajtů a to i přesto, že délka „Session ID“ v rozmezí 1-31 bajtů je v souladu s RFC.

Reference

Zranitelné verze

Produkt Zranitelná verze Bezpečná verze Severity Zranitelná komponenta
BIG-IP LTM 12.0.0 - 12.1.2
11.4.0 - 11.6.1
11.6.1 HF2 High BIG-IP virtual server*
BIG-IP AAM 12.0.0 - 12.1.2
11.4.0 - 11.6.1
11.6.1 HF2 High BIG-IP virtual server*
BIG-IP AFM 12.0.0 - 12.1.2
11.4.0 - 11.6.1
11.6.1 HF2 High BIG-IP virtual server*
BIG-IP Analytics 12.0.0 - 12.1.2
11.4.0 - 11.6.1
11.6.1 HF2 High BIG-IP virtual server*
BIG-IP APM 12.0.0 - 12.1.2
11.4.0 - 11.6.1
11.6.1 HF2 High BIG-IP virtual server*
BIG-IP ASM 12.0.0 - 12.1.2
11.4.0 - 11.6.1
11.6.1 HF2 High BIG-IP virtual server*
BIG-IP Link Controller 12.0.0 - 12.1.2
11.4.0 - 11.6.1
11.6.1 HF2 High BIG-IP virtual server*
BIG-IP PEM 12.0.0 - 12.1.2
11.4.0 - 11.6.1
11.6.1 HF2 High BIG-IP virtual server*
BIG-IP PSM 11.4.0 - 11.4.1 None High BIG-IP virtual server*

Opatření k odstranění zranitelnosti

Pokud vaše zařízení je na seznamu zranitelných, doporučujeme přechod na verzi, která tuto zranitelnost neobsahuje. Pokud seznam zařízení obsahuje nižší verze než je ta na vašem zařízení, popřípadě není zde uveden upgrade na verzi, která zde popisovanou chybu obsahuje, je vaše zařízení zranitelné a v současné době neexistuje aktualizace, která by chybu opravovala.

Dalším možným způsobem řešení je zakázaní vzdálené změny konfigurace zařízení.

První pomoc

V případě, kdy není možné updatovat na novou verzi, je možné vypnout SSL klienta na zranitelném stroji. Chcete-li pak učinit je postup následující:

  • Přihlásit se do managemantu
  • V položce Trafic/Profiles/SSL/Client
  • Zvolte položku Advance
  • Zrušte zaškrtnuté políčko Session Ticket check box.
  • Potvrzení změny nastavení

U systémů ve správě Corpus Solutions provedeme v nejbližší době analýzu zranitelnosti a případně učiníme opatření pro eliminaci tohoto problému. Zákazníky budeme průběžně informovat prostřednictvím standardních komunikačních mechanizmů.

Tip: všechny Security Advisory od Corpus Solutions můžete odebírat jako RSS kanál