CISA, tehdit aktörlerinin, hedeflenen ağdaki diğer dahili cihazları tanımlamak ve hedeflemek için şifrelenmemiş kalıcı F5 BIG-IP çerezlerini kötüye kullandıklarının gözlemlendiği konusunda uyarıyor.
Tehdit aktörleri, dahili cihazların haritasını çıkararak, siber saldırılardaki planlama aşamalarının bir parçası olarak ağdaki savunmasız cihazları potansiyel olarak tespit edebilir.
CISA, “CISA, siber tehdit aktörlerinin, ağdaki internete açık olmayan diğer cihazları numaralandırmak için F5 BIG-IP Yerel Trafik Yöneticisi (LTM) modülü tarafından yönetilen şifrelenmemiş kalıcı çerezlerden yararlandığını gözlemledi” diye uyarıyor.
“Kötü niyetli bir siber aktör, şifrelenmemiş kalıcı çerezlerden toplanan bilgilerden yararlanarak ek ağ kaynaklarını tespit edebilir veya belirleyebilir ve ağda bulunan diğer cihazlarda bulunan güvenlik açıklarından potansiyel olarak yararlanabilir.”
F5 kalıcı oturum çerezleri
F5 BIG-IP, web uygulamalarının yük dengelemesine ve güvenliği sağlamaya yönelik bir uygulama teslimi ve trafik yönetimi araçları paketidir.
Temel modüllerinden biri, ağ trafiğini birden fazla sunucuya dağıtmak için trafik yönetimi ve yük dengeleme sağlayan Yerel Trafik Yöneticisi (LTM) modülüdür. Müşteriler bu özelliği kullanarak yük dengeli sunucu kaynaklarını ve yüksek kullanılabilirliği optimize eder.
Ürün içindeki Yerel Trafik Yöneticisi (LTM) modülü, trafiği istemcilerden (web tarayıcılarından) her seferinde aynı arka uç sunucusuna yönlendirerek oturum tutarlılığının korunmasına yardımcı olan kalıcı çerezler kullanır; bu, yük dengeleme için çok önemlidir.
F5’in belgeleri “Çerez kalıcılığı, HTTP çerezleri kullanılarak kalıcılığı zorunlu kılar” diye açıklıyor.
“Tüm kalıcılık modlarında olduğu gibi, HTTP çerezleri de aynı istemciden gelen isteklerin, BIG-IP sistemi başlangıçta yük dengelemesinden sonra aynı havuz üyesine yönlendirilmesini sağlar. Aynı havuz üyesi mevcut değilse sistem yeni bir yükleme yapar Dengeleme kararı.”
Bu çerezler, muhtemelen eski yapılandırmalarla operasyonel bütünlüğü korumak amacıyla veya performansla ilgili hususlar nedeniyle varsayılan olarak şifrelenmez.
Sürüm 11.5.0 ve sonrasında, yöneticilere tüm çerezlerde şifrelemeyi zorunlu kılmak için yeni bir “Gerekli” seçeneği sunuldu. Bunu etkinleştirmemeyi tercih edenler güvenlik risklerine maruz kaldı.
Ancak bu çerezler, dahili yük dengeli sunucuların kodlanmış IP adreslerini, bağlantı noktası numaralarını ve yük dengeleme kurulumlarını içerir.
Yıllardır siber güvenlik araştırmacıları, şifrelenmemiş çerezlerin, önceden gizlenmiş dahili sunucuları veya güvenlik açıklarına karşı taranabilecek ve dahili bir ağı ihlal etmek için kullanılabilecek, bilinmeyen, açığa çıkmış olası sunucuları bulmak için nasıl kötüye kullanılabileceğini paylaştı. BIG-IP yöneticilerinin bağlantı sorunlarını gidermesine yardımcı olmak amacıyla bu çerezlerin kodunu çözmek için bir Chrome uzantısı da yayınlandı.
CISA’ya göre tehdit aktörleri, ağ keşfi için gevşek yapılandırmalardan yararlanarak bu potansiyelden zaten faydalanıyor.
CISA, F5 BIG-IP yöneticilerinin, satıcının bu kalıcı çerezlerin nasıl şifreleneceğine ilişkin talimatlarını (ayrıca burada) incelemesini önerir.
Orta nokta “Tercih edilen” yapılandırma seçeneğinin şifrelenmiş çerezler oluşturduğunu ancak aynı zamanda sistemin şifrelenmemiş çerezleri kabul etmesine de izin verdiğini unutmayın. Bu ayar, geçiş aşamasında, önceden verilen çerezlerin, şifrelenmiş çerezleri zorunlu kılmadan önce çalışmaya devam etmesine izin vermek için kullanılabilir.
“Gerekli” olarak ayarlandığında tüm kalıcı çerezler güçlü AES-192 şifrelemesi kullanılarak şifrelenir.
CISA ayrıca F5’in, üründeki yanlış yapılandırmaları tespit etmek ve yöneticileri bunlar hakkında uyarmak için tasarlanmış ‘BIG-IP iHealth’ adlı bir teşhis aracı geliştirdiğini de belirtiyor.