CISAは、脅威行為者が暗号化されていない永続的なF5 BIG-IP Cookieを悪用して、標的のネットワーク上の他の内部デバイスを特定し、標的にしていることが確認されたとして警告しています。
内部デバイスをマッピングすることで、脅威行為者はサイバー攻撃の計画段階の一部として、ネットワーク上の脆弱なデバイスを特定できる可能性があります。
CISAは、「サイバー脅威行為者が、F5 BIG-IPローカル・トラフィック・マネージャ(LTM)モジュールによって管理される暗号化されていない永続的なCookieを活用して、ネットワーク上のインターネットに面していない他のデバイスを列挙していることが確認されている」と警告しています。
「悪意のあるサイバーアクターは、暗号化されていない永続的なクッキーから収集した情報を活用して、追加のネットワークリソースを推測または特定し、ネットワーク上に存在する他のデバイスで見つかった脆弱性を悪用する可能性があります。
F5 パーシステント・セッション・クッキー
F5 BIG-IP は、Web アプリケーションの負荷分散とセキュリティの提供を目的とした、アプリケーション配信およびトラフィック管理ツールのスイートです。
このモジュールは、トラフィック管理と負荷分散を提供し、ネットワーク・トラフィックを複数のサーバに分散します。この機能を使用することで、顧客は負荷分散されたサーバー・リソースと高可用性を最適化できます。
製品内のローカル・トラフィック・マネージャー(LTM)モジュールは、クライアント(ウェブ・ブラウザ)からのトラフィックを毎回同じバックエンド・サーバーに誘導することで、セッションの一貫性を維持するのに役立つパーシステンス・クッキーを使用します。
「クッキーの永続性はHTTPクッキーを使用して永続性を強制します。
「すべてのパーシステンス・モードと同様に、HTTP クッキーは、BIG-IP システムが最初に負荷分散を行った後、同じクライアントからの要求が同じプール・メンバーに誘導されることを保証します。同じプール・メンバが利用できない場合、システムは新しい負荷分散の決定を行います。
これらのクッキーは、デフォルトでは暗号化されていません。これは、レガシー構成での運用の整合性を維持するため、またはパフォーマンスへの配慮によるものです。
バージョン11.5.0以降では、管理者はすべてのクッキーの暗号化を強制する新しい「必須」オプションを与えられました。これを有効にしないことを選択した人は、セキュリティリスクにさらされることになります。
しかし、これらのクッキーには、符号化されたIPアドレス、ポート番号、および内部の負荷分散サーバの負荷分散セットアップが含まれています。
何年もの間、サイバーセキュリティの研究者たちは、暗号化されていないクッキーを悪用して、以前は隠されていた内部サーバーや、脆弱性をスキャンして内部ネットワークに侵入するために使用できる可能性のある未知の公開サーバーを見つける方法を共有してきた。また、BIG-IPの管理者が接続のトラブルシューティングを行えるように、これらのクッキーを解読するためのChrome拡張機能もリリースされました。
CISAによると、脅威行為者はすでにこの可能性を利用し、ネットワーク発見のための緩い設定を悪用しています。
CISA は、F5 BIG-IP 管理者に対し、これらの永続的なクッキーを暗号化する方法について、ベンダーの説明書(こちらも参照)を確認することを推奨します。
ミッドポイントの「Preferred」構成オプションは、暗号化されたクッキーを生成しますが、暗号化されていないクッキーをシステムが受け入れることもできることに注意してください。この設定は、暗号化されたクッキーを強制する前に、以前に発行されたクッキーが機能し続けられるようにするため に、移行フェーズで使うことができます。
Required」に設定すると、すべての永続的クッキーは強力なAES-192暗号を使用して暗号化されます。
CISAはまた、F5が製品の設定ミスを検出して管理者に警告するように設計された「BIG-IP iHealth」という診断ツールを開発したことにも言及しています。
Comments