近日,国家信息安全漏洞共享平台(CNVD)收录了F5 BIG-IP设备TLS/SSL堆栈溢出漏洞“又称TicketBleed漏洞”(CNVD-2017-01171,CVE-2016-9244)。该漏洞原理类似于OpenSSL“心脏滴血”漏洞,远程攻击者利用该漏洞持续获取服务器端的内存数据。由于BIG-IP设备多用于互联网出入口流量管理和负载优化,有可能导致用户敏感信息(如:业务数据)泄露。不过根据当前测试结果,受影响范围还较为有限。
一、漏洞情况分析
F5 BIG-IP 链路控制器可以无缝地监控多条 WAN ISP 连接的可用性与性能,主要用于互联网出入口流量管理和负载优化。Session Tickets是加速重复连接的一项恢复技术。
BIG-IP虚拟服务器配置客户端SSL配置文件启用了非默认Session Tickets选项,当客户端提供SessionID和Session Tickets时, Session ID的长度可以在1到31个字节之间,而F5堆栈总是回显32字节的内存。攻击者利用该漏洞提供1字节Session ID可收到31字节的未初始化内存信息,从而获取其他会话安全套接字层(SSL)SessionID。该漏洞原理类似于OpenSSL“心脏滴血”漏洞,但通过漏洞一次只能获取31个字节数据,而不是64k,需要多次轮询执行攻击,并且仅影响专有的F5 TLS堆栈。
CNVD对该漏洞的综合评级为“高危”。目前,相关利用方式已经在互联网上公开,近期出现大量攻击尝试的可能。
二、漏洞影响范围
受此漏洞影响的设备类型和版本,以及受该漏洞影响的组件和功能的详细信息请参阅下表。根据CNVD秘书处普查情况,相关F5 BIG-IP设备共有70028台暴露在互联网上,而在中国境内有2213台BIG-IP设备(占全球比例3.16%),但测试未发现受到漏洞实际影响。根据漏洞研究者的抽查比例,互联网上443端口受该漏洞影响的443端口TLS服务比例约为0.2%。
| | | | |
| 12.0.0 - 12.1.2
11.4.0 - 11.6.1
| | | |
| 12.0.0 - 12.1.2
11.4.0 - 11.6.1
| | | |
| 12.0.0 - 12.1.2
11.4.0 - 11.6.1
| | | |
| 12.0.0 - 12.1.2
11.4.0 - 11.6.1
| | | |
| 12.0.0 - 12.1.2
11.4.0 - 11.6.1
| | | |
| 12.0.0 - 12.1.2
11.4.0 - 11.6.1
| | | |
| | | | |
| 12.0.0 - 12.1.2
11.4.0 - 11.6.1
| | | |
| 12.0.0 - 12.1.2
11.4.0 - 11.6.1
| | | |
| | | | |
三、漏洞修复建议
受影响的产品在本次公开披露时并非所有版本都可以通过升级解决。F5官方提供的临时解决方案如下:
1. 登录到配置实用程序
2. 在菜单上导航到本地流量>配置文件> SSL>客户端
3. 将配置的选项从基本切换到高级
4. 取消选中Session Ticket选项以禁用该功能
5. 单击更新以保存更改
附:参考链接:
https://filippo.io/Ticketbleed/
https://blog.filippo.io/finding-ticketbleed/?utm_source=tuicool&utm_medium=referral
https://support.f5.com/csp/article/K05121675
http://www.cnvd.org.cn/flaw/show/CNVD-2017-01171