De Finse beveiligingsspecialist F-Secure waarschuwt voor een kwetsbaarheid die tal van bedrijven tot doelwit van cyberaanvallen kan maken. Grote IP-producten van F5 Networks zijn getroffen. De provider ontkent.
Beveiligingsleverancier F-Secure ziet een ernstige bedreiging in het gebruik van de Big IP load balancer van F5 Networks en adviseert bedrijven die het product gebruiken om de beveiligingsproblemen in sommige standaardconfiguraties zo snel mogelijk te verhelpen. Aanvallers zouden de onveilig geconfigureerde loadbalancers kunnen gebruiken om netwerken binnen te dringen en aanvallen uit te voeren op bedrijven of personen die gebruikmaken van webdiensten die door een gecompromitteerd apparaat worden beheerd.
De kwetsbaarheid doet zich voor in de gebruikte programmeertaal, Tcl, waarin de zogeheten iRules van Big-IP worden geschreven. Big-IP coördineert al het inkomende verkeer via deze iRules. Met bepaalde kwaadaardige codes kunnen aanvallers willekeurige Tcl-opdrachten in de iRules injecteren, die vervolgens in deze zogenaamd veilige omgeving worden uitgevoerd.
Gerichte aanvallen mogelijk
Het belang van deze kwetsbaarheid voor de getroffen bedrijven is enorm, aangezien aanvallers dergelijke onveilig geconfigureerde iRules kunnen misbruiken om gecompromitteerde BIG-IP-apparaten te gebruiken als startpunt voor verdere aanvallen. Bovendien is het voor aanvallers mogelijk webverkeer te onderscheppen en te manipuleren. Door het vrijgeven van gevoelige informatie, waaronder inloggegevens en persoonlijke applicatiegeheimen, kunnen gebruikers van getroffen webdiensten dus doelwit worden van aanvallen.
In sommige gevallen is het uitbuiten van een kwetsbaar systeem zo eenvoudig dat het commando of de kwaadaardige code alleen maar via een eenvoudig webverzoek hoeft te worden geïnjecteerd, dat de dienst vervolgens voor de aanvaller uitvoert, aldus de specialisten van F-Secure. Tot overmaat van ramp logt het gecompromitteerde apparaat in sommige situaties de handelingen van de hacker niet, zodat er achteraf geen bewijs van een aanval is. In andere gevallen kunnen aanvallers logbestanden – en dus het bewijs van hun activiteiten – gewoon wissen. Dit maakt het onderzoek en de opheldering van dergelijke incidenten aanzienlijk moeilijker. Een denkbaar scenario: hackers kunnen klanten van getroffen banken bespioneren en hun bankrekeningen leeghalen. “Zelfs als de klant dergelijke schade meldt, zou de aanval voor de bank alleen traceerbaar zijn met forensisch onderzoek op de loadbalancer, aangezien Big IP cyberaanvallen zeer heimelijk zijn,” zegt F-Secure Senior Security Consultant Christoffer Jerkeby.
Mogelijk groot beveiligingsprobleem
Jerkeby vervolgt: “Dit configuratieprobleem is zeer ernstig, aangezien het verborgen genoeg is om onopgemerkt door hackers te worden gebruikt. Zij kunnen dan verschillende doelwitten achtervolgen en vervolgens alle sporen uitwissen. Bovendien zijn veel organisaties niet bereid om veiligheidsrisico’s die diep in de softwareleveringsketens verborgen zitten, op te sporen en te verhelpen. Als we al deze punten bij elkaar nemen, hebben we te maken met een potentieel enorm veiligheidsprobleem. Tenzij bedrijven weten waar ze op moeten letten, is het enorm moeilijk voor hen om op dit probleem voorbereid te zijn, en des te ingewikkelder wordt het dienovereenkomstig om met een concrete aanvalssituatie om te gaan.”
Jerkeby’s onderzoek identificeerde meer dan 300.000 actieve Big IP-implementaties op het internet, maar hij vermoedt een veel hoger aantal als gevolg van methodologische beperkingen van zijn onderzoek. Ongeveer 60 procent van de Big IP-instanties die hij ontdekte, waren afkomstig uit de Verenigde Staten.
En hoewel niet elk bedrijf dat Big IP-systemen gebruikt automatisch wordt getroffen, betekent het wijdverbreide gebruik van de load balancer wel dat de organisaties in kwestie hun eigen risicosituatie moeten onderzoeken en beoordelen. Vooral door de populariteit bij banken, overheden en andere organisaties die webdiensten leveren aan grote aantallen mensen, is de kwetsbaarheid ook elementair voor gebruikers van die diensten.
“Tenzij een bedrijf een grondige technische audit van hun systemen heeft uitgevoerd, is de kans groot dat ze door de kwetsbaarheid zijn getroffen”, aldus Jerkeby. “Zelfs iemand die zeer beveiligingsbewust is en in een bedrijf werkt dat goed is uitgerust op het gebied van beveiligingstechnologie, zou deze kwetsbaarheid kunnen missen. Daarom is voorlichting over dit onderwerp echt belangrijk als we bedrijven willen helpen zich beter te beschermen tegen een mogelijk bedreigingsscenario.”
Wat te doen?
Massascans stellen hackers in staat het internet af te speuren naar kwetsbare plekken op Big IP-systemen. Aangezien dergelijke massascans ook vrij gemakkelijk kunnen worden geautomatiseerd, zal de kwetsbaarheid waarschijnlijk zeer binnenkort de belangstelling wekken van zogenaamde bug bounty hunters en aanvallers. Bovendien kunnen potentiële hackers gratis testversies van de Big IP-technologie rechtstreeks van de fabrikant krijgen en tegen lage kosten toegang krijgen tot cloudinstances, stelt F-Secure. Om deze redenen adviseert de beveiligingsspecialist bedrijven om actief te onderzoeken of ze getroffen zijn of niet.
Jerkeby heeft meegewerkt aan de ontwikkeling van enkele gratis open-source tools die bedrijven kunnen gebruiken om inadequate configuraties in hun BIG-IP-implementaties op te sporen. Getroffen bedrijven kunnen contact opnemen met F-Secure om toegang tot deze tools te krijgen. Een woordvoerder van het bedrijf: “We willen de tool niet openbaar maken, omdat aanvallers deze tool ook kunnen gebruiken om onjuiste configuraties bloot te leggen en in hun voordeel te gebruiken.”
“Het goede nieuws is dat niet iedere gebruiker van het product automatisch wordt getroffen. Het slechte is echter dat het probleem niet kan worden opgelost met een eenvoudige patch of software-update van de fabrikant. Het is aan de getroffen bedrijven zelf om de nodige voorzorgsmaatregelen te nemen. Zij moeten nagaan of zij daadwerkelijk met dit beveiligingsprobleem te maken hebben. En zij hebben zelf de verantwoordelijkheid om het zo nodig op te lossen,” legt Jerkeby uit. “Daarom is het zo belangrijk dat iedereen die Big-IP gebruikt nu actief actie onderneemt!”
Statement van F5 Networks:
De getroffen leverancier, F5 Networks, heeft al gereageerd op de onthulling van de mogelijke kwetsbaarheid door een verklaring vrij te geven:
“Dit is geen kwetsbaarheid in Tcl (een dynamische programmeertaal) of in F5-producten. Dit is een probleem dat verband houdt met de coderingsprocessen die worden gebruikt om de scripts te maken. Zoals met de meeste programmeer- of scripttalen, is het mogelijk code te schrijven op een manier die kwetsbaarheden creëert. Wij hebben samen met de onderzoeker gewerkt aan documentatie en kennisgeving, zodat de cliënten hun kwetsbaarheid kunnen beoordelen en de nodige stappen kunnen nemen om het risico tot een minimum te beperken. Beste praktijk voor Tcl scripting is om alle expressies te vermijden, zodat ze niet vervangen of onverwacht geëvalueerd kunnen worden. Cliënten dienen Tcl-scripts te herzien en alle wijzigingen aan te brengen die zij in het licht van dit advies nodig achten. Voor meer informatie, zie deze beveiligingsopmerking: https://support.f5.com/csp/article/K15650046