Le BIG-IP de F5 est vulnérable à une faille de spoofing dans le KDC de Kerberos

0

Les chercheurs en cybersécurité ont révélé une nouvelle vulnérabilité de contournement (CVE-2021-23008) dans la fonction de sécurité du Key Distribution Center (KDC) de Kerberos qui a un impact sur les services de livraison d’applications F5 Big-IP.

« La vulnérabilité de spoofing du KDC permet à un attaquant de contourner l’authentification Kerberos sur l’Access Policy Manager (APM) de Big-IP, de contourner les politiques de sécurité et d’accéder sans entrave à des charges de travail sensibles », ont déclaré Yaron Kassner et Rotem Zach, chercheurs de Silverfort, dans un rapport. « Dans certains cas, cela peut être utilisé pour contourner l’authentification de la console admin de Big-IP. »

Coïncidant avec la divulgation publique, F5 Networks a publié des correctifs pour remédier à la faille (CVE-2021-23008, score CVSS 8.1), avec des correctifs introduits dans les versions BIG-IP APM 12.1.6, 13.1.4, 14.1.4, et 15.1.3. Un patch similaire pour la version 16.x est prévu à une date ultérieure.

« Nous recommandons aux clients utilisant une version 16.x de vérifier l’avis de sécurité pour évaluer leur exposition et obtenir des détails sur les mesures d’atténuation de la vulnérabilité, » a déclaré F5. En tant que solution de contournement, l’entreprise recommande de configurer l’authentification multi-facteur (AMF) ou de déployer un tunnel IPSec entre le système BIG-IP APM affecté et les serveurs Active Directory.

Kerberos est un protocole d’authentification qui s’appuie sur un modèle client-serveur pour l’authentification mutuelle et nécessite un intermédiaire de confiance appelé Key Distribution Center (KDC) — un serveur d’authentification Kerberos (AS) ou un serveur d’octroi de billets dans ce cas — qui agit comme un répertoire de clés secrètes partagées de tous les utilisateurs ainsi que des informations sur les utilisateurs ayant accès à des privilèges sur des serveurs réseau.

kerberos
Source: DevenSys

Ainsi, lorsqu’un utilisateur, par exemple Alice, veut accéder à un service particulier sur un serveur (Bob), Alice est invitée à fournir son nom d’utilisateur et son mot de passe pour vérifier son identité, après quoi le serveur d’authentification de Kerberos vérifie si Alice a des privilèges d’accès à Bob, et si oui, émettre un « billet » permettant à l’utilisateur d’utiliser le service jusqu’à son heure d’expiration.

Également essentiel dans le cadre du processus est l’authentification de KDC au serveur, en l’absence de laquelle la sécurité de Kerberos est compromise, permettant ainsi à un attaquant qui a la possibilité de détourner la communication réseau entre Big-IP et le contrôleur de domaine (qui est le KDC) pour contourner l’authentification entièrement.

En un mot, l’idée est que lorsque le protocole Kerberos est mis en œuvre de la bonne façon, un adversaire qui tente de se faire passer pour le KDC ne peut pas contourner les protections d’authentification. L’attaque d’usurpation dépend donc de la possibilité qu’il existe des configurations Kerberos peu sûres afin de détourner la communication entre le client et le contrôleur de domaine, en s’appuyant sur elle pour créer un KDC frauduleux qui détourne le trafic destiné au contrôleur vers le faux KDC, et par la suite s’authentifier au client.

« Un attaquant distant peut détourner une connexion KDC à l’aide d’une réponse AS-REP usurpée », a noté F5 Networks dans l’alerte. « Pour une stratégie d’accès à l’APM configurée avec l’authentification de l’Active Directory et l’agent Single-Sign-On (connexion unique), si une identification usurpée liée à cette vulnérabilité est utilisée, selon la façon dont le système back-end valide le jeton d’authentification qu’il reçoit, l’accès échouera très probablement.

Une stratégie d’accès à l’APM peut également être configurée pour l’authentification du système BIG-IP. Une identification usurpée liée à cette vulnérabilité pour un utilisateur administratif par le biais de la politique d’accès APM donne lieu à un accès administratif local.

Il s’agit de la quatrième faille de ce type découverte par Silverfort après avoir découvert des problèmes similaires dans l’ASA de Cisco (CVE-2020-3125), le PAN-OS de Palo Alto Networks (CVE-2020-2002), et le QRadar d’IBM (CVE-2019-4545) l’an dernier.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.