Investigadores de ciberseguridad revelaron el miércoles una nueva vulnerabilidad de derivación (CVE-2021-23008) en la función de seguridad del Centro de Distribución de Claves Kerberos (KDC) que afecta a los servicios de entrega de aplicaciones F5 Big-IP.
"La vulnerabilidad KDC Spoofing permite a un atacante eludir la autenticación Kerberos a Big-IP Access Policy Manager (APM), eludir las políticas de seguridad y obtener acceso sin restricciones a cargas de trabajo sensibles", dijeron los investigadores de Silverfort Yaron Kassner y Rotem Zach en un informe. "En algunos casos, esto se puede utilizar para omitir la autenticación a la consola de administración de Big-IP también."
Coincidiendo con la divulgación pública, F5 Networks ha lanzado parches para abordar la debilidad (CVE-2021-23008, CVSS score 8.1), con correcciones introducidas en las versiones 12.1.6, 13.1.4, 14.1.4 y 15.1.3. Se espera un parche similar para la versión 16.x en una fecha futura.
"Recomendamos a los clientes que ejecutan 16.x que revisen el aviso de seguridad para evaluar su exposición y obtener detalles sobre las mitigaciones de la vulnerabilidad", dijo F5 a The Hacker News por correo electrónico. Como soluciones alternativas, la empresa recomienda configurar la autenticación multifactor (MFA) o implementar un túnel IPSec entre el sistema BIG-IP APM afectado y los servidores de Active Directory.
Kerberos es un protocolo de autenticación que se basa en un modelo cliente-servidor para la autenticación mutua y requiere un intermediario de confianza llamado Key Distribution Center (KDC) — un servidor de autenticación Kerberos (AS) o un servidor de concesión de vales en este caso — que actúa como un repositorio de claves secretas compartidas de todos los usuarios, así como información sobre qué usuarios tienen privilegios de acceso a qué servicios en qué servidores de red.
Por lo tanto, cuando un usuario, por ejemplo Alice, quiere acceder a un servicio en particular en un servidor (Bob), Alice se le pide que proporcione su nombre de usuario y contraseña para verificar su identidad, después de lo cual el AS comprueba si Alice tiene privilegios de acceso a Bob, y si es así, emitir un "ticket" que permita al usuario utilizar el servicio hasta su hora de expiración.
También es esencial como parte del proceso la autenticación de KDC al servidor, en ausencia de la cual la seguridad de kerberos se ve comprometida, permitiendo así a un atacante que tiene la capacidad de secuestrar la comunicación de red entre Big-IP y el controlador de dominio (que es el KDC) para eludir la autenticación por completo.
En pocas palabras, la idea es que cuando el protocolo Kerberos se implementa de la manera correcta, un adversario que intenta suplantar el KDC no puede omitir las protecciones de autenticación. El ataque de suplantación, por lo tanto, depende de la posibilidad de que existan configuraciones kerberos inseguras para secuestrar la comunicación entre el cliente y el controlador de dominio, aprovechándolo para crear un KDC fraudulento que desvía el tráfico destinado al controlador al KDC falso, y posteriormente autenticarse al cliente.
"Un atacante remoto puede secuestrar una conexión KDC usando una respuesta AS-REP suplantada", señaló F5 Networks en la alerta. "Para una directiva de acceso APM configurada con autenticación de AD y agente SSO (inicio de sesión único), si se usa una credencial suplantada relacionada con esta vulnerabilidad, dependiendo de cómo valide el sistema back-end el token de autenticación que recibe, lo más probable es que se produzca un error en el acceso. Una directiva de acceso APM también se puede configurar para la autenticación del sistema BIG-IP. Una credencial suplantada relacionada con esta vulnerabilidad para un usuario administrativo a través de la directiva de acceso APM da como resultado el acceso administrativo local."
https://support.f5.com/csp/article/K51213246
