未加密的F5 BIG-IP Cookie存在严重漏洞将被攻击者利用

网络安全和基础设施安全局发布最新警告称，已观察到威胁行为者滥用未加密的持久性F5 BIG-IP Cookie来识别并针对目标网络中的其他内部设备进行攻击。通过绘制内部设备的地图，威胁行为者可以在网络攻击的规划阶段潜在地识别出网络上的脆弱设备。

警告说：“我们已经观察到网络威胁行为者利用由F5 BIG-IP本地流量管理器（LTM）模块管理的未加密持久性Cookie来枚举网络上其他非面向互联网的设备。”

“恶意网络行为者可以利用从未加密的持久性Cookie中收集的信息来推断或识别额外的网络资源，并可能利用网络上其他设备中存在的漏洞。”

F5 会话 Cookie

F5 BIG-IP 是一套用于网页应用负载均衡和提供安全性的应用交付与流量管理工具。

其核心模块之一是本地流量管理器（LTM）模块，该模块提供流量管理和负载均衡功能，以在网络中的多台服务器之间分配流量。使用此功能，客户可以优化其负载均衡的服务器资源和高可用性。

产品内的本地流量管理器（LTM）模块使用持久性Cookie，这些Cookie通过将客户端（如网页浏览器）的流量导向同一后端服务器来帮助维持会话的一致性，这对于负载均衡至关重要。

F5 的文档解释道：“Cookie持久性通过HTTP Cookie强制执行持久性。”
“与其他所有持久性模式一样，HTTP Cookie确保来自同一客户端的请求在BIG-IP系统首次负载均衡后，会被定向到相同的池成员。如果原来的池成员不可用，系统将做出新的负载均衡决策。”

这些Cookie默认情况下是未加密的，可能是为了保持与旧配置的操作兼容性或出于性能考虑。

从11.5.0版本开始，管理员被赋予了一个新的“必需”选项，以强制对所有Cookie进行加密。那些选择不启用加密的配置面临安全风险。

然而，这些Cookie包含编码的内部负载均衡服务器的IP地址、端口号和负载均衡设置。

多年来，网络安全研究人员分享了如何滥用未加密Cookie来发现之前隐藏的内部服务器或可能未知的暴露服务器，这些服务器可以被扫描漏洞并用于入侵内部网络。

研究人员还发布了一款Chrome扩展程序，用于解码这些Cookie，以帮助BIG-IP管理员排除连接故障。

根据网络安全和基础设施安全局的说法，威胁行为者已经开始利用这种潜力，通过利用松散的配置来进行网络发现。

网络安全和基础设施安全局建议F5 BIG-IP管理员审查供应商提供的关于如何加密这些持久性Cookie的说明。

需要注意的是，“优选”配置选项会生成加密的Cookie，但也允许系统接受未加密的Cookie。此设置可用于迁移阶段，以使之前发布的Cookie继续工作，直到强制使用加密Cookie为止。

当设置为“必需”时，所有持久性Cookie都将使用强大的AES-192加密算法进行加密。

网络安全和基础设施安全局还指出，F5 开发了一种名为 ‘BIG-IP iHealth’ 的诊断工具，旨在检测产品的错误配置并向管理员发出警告。

---

推荐阅读

• 【网络安全】CrowdStrike 的 Falcon Sensor 软件导致 Linux 内核崩溃
• 新的恶意软件：无文件恶意软件GhostHook正在广泛传播
• Windows Server 2022 安全功能重大更新
• 【网络安全】勒索软件ShrinkLocker使用 windows系统安全工具BitLocker实施攻击
• Windows Server 2019 Standard 和 Datacenter 版本差异比较