Vulnerabilità Ticketbleed su sistemi F5 Big-IP

 

Proto: N040217.

Con la presente Yoroi desidera comunicarLe che è stata resa nota una vulnerabilità ad elevata criticità presente su piattaforme F5 BIG-IP in grado di permettere l’estrazione di informazioni sensibili dagli apparati fallati. La vulnerabilità affligge il componente “SSL virtual server” incluso all’interno delle tecnologie F5 Big-IP ed è nota con il nome Ticketbleed.

Per via della sua natura la criticità è sfruttabile da utenti di rete remoti senza la necessità di autenticazioni sui sistemi obiettivo: eventuali attacchi portati a termine con successo possono permettere all’attaccante di ottenere dati sensibili presenti nella memoria degli appliance vittima come risorse, documenti o credenziali in transitato, token di sessione o chiavi crittografiche private in uso sui sistemi.

Le versioni di F5 Big-IP coinvolte dalla problematica sono:

  • BIG-IP LTM BIG-IP AAM BIG-IP AFM BIG-IP Analytics BIG-IP APM BIG-IP ASM BIG-IP Link Controller BIG-IP PEM (12.0.0 – 12.1.2, 11.4.0 – 11.6.1)

  • BIG-IP GTM (11.4.0 – 11.6.1)

  • BIG-IP PSM (11.4.0 – 11.4.1)

I ricercatori di sicurezza che hanno investigato la vulnerabilità hanno inoltre messo a disposizione un portale di test pubblico utilizzabile al fine di verificare lo stato di vulnerabilità sui propri apparati Big-IP in uso presso https://filippo.io/Ticketbleed/ .

Il vendor ha rilasciato il bollettino di sicurezza https://support.f5.com/csp/article/K05121675 raccomandando l’aggiornamento dei sistemi a versioni sicure. Qualora l’aggiornamento non fosse immediatamente operabile è possibile attuare un workaround per disabilitare la funzionalità di SessionTicket al fine di mitigare la problematica:

  • Effettuare il login all’utility di Configurazione

  • Navigare su “Local Traffic > Profiles > SSL > Client”

  • Dalle “Configuration option”, selezionare “Advanced”

  • Rimuovere la spunta da “Session Ticket” .

  • Click su “Update”.

Yoroi suggerisce di applicare gli aggiornamenti messi a disposizione dal vendor e di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MATP (Managed Advanced Threat Protection).

Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index