发现F5 BIG-IP易受Kerberos KDC欺骗漏洞攻击

网络安全研究人员周三披露，Kerberos密钥分发中心（KDC）安全功能中存在一个新的绕过漏洞（CVE-2021-23008），影响F5大IP应用程序交付服务。

Silverfort研究人员Yaron Kassner和Rotem Zach在一份报告中说：“KDC欺骗漏洞允许攻击者绕过Kerberos身份验证，进入大IP访问策略管理器（APM），绕过安全策略，获得对敏感工作负载的不受限制的访问。”。“在某些情况下，这也可以用来绕过对大IP管理控制台的身份验证。”

与公开披露同时，F5 Networks发布了修补程序来解决该漏洞（CVE-2021-23008，CVSS评分8.1），并在BIG-IP APM版本12.1.6、13.1.4、14.1.4和15.1.3中引入了修复程序。版本16也有类似的补丁。x预计在未来某个日期出现。

F5通过电子邮件告诉《黑客新闻》：“我们建议运行16.x的客户查看安全建议，以评估他们的暴露情况，并获取漏洞缓解措施的详细信息。”。作为解决办法，该公司建议在受影响的BIG-IP APM系统和Active Directory服务器之间配置多因素身份验证（MFA），或部署IPSec隧道。

Kerberos是一种身份验证协议，它依赖于客户机-服务器模型进行相互身份验证，并需要一个名为密钥分发中心（KDC）和#8212；Kerberos身份验证服务器（AS）或本例中的票证授予服务器—；它充当所有用户共享密钥的存储库，以及关于哪些用户对哪些网络服务器上的哪些服务具有访问权限的信息。

因此，当用户（比如Alice）想要访问服务器（Bob）上的特定服务时，系统会提示Alice提供用户名和密码以验证其身份，之后AS会检查Alice是否对Bob具有访问权限，如果是，则会发出一张“票证”，允许用户使用该服务，直到服务到期。

作为该过程的一部分，KDC对服务器的身份验证也是至关重要的，如果没有这种身份验证，Kerberos的安全性就会受到损害，从而允许有能力劫持大IP和域控制器（即KDC）之间的网络通信的攻击者完全避开身份验证。

简而言之，当Kerberos协议以正确的方式实现时，试图模拟KDC的对手无法绕过身份验证保护。因此，欺骗攻击取决于存在不安全的Kerberos配置的可能性，从而劫持客户端和域控制器之间的通信，利用它创建欺诈性的KDC，将用于控制器的流量转移到假KDC，然后向客户机进行身份验证。

F5 Networks在警报中指出：“远程攻击者可以使用伪造的AS-REP响应劫持KDC连接。”。“对于配置了AD身份验证和SSO（单点登录）的APM访问策略代理，如果使用与此漏洞相关的伪造凭据，则访问极有可能失败，具体取决于后端系统验证其接收的身份验证令牌的方式。还可以为大IP系统身份验证配置APM访问策略。通过APM访问策略为管理用户伪造与此漏洞相关的凭据会导致本地管理访问。"

这是Silverfort去年在Cisco ASA（CVE-2020-3125）、Palo Alto Networks PAN-OS（CVE-2020-2002）和IBM QRadar（CVE-2019-4545）中发现类似问题后发现的第四个此类欺骗漏洞。