近日,国家信息安全漏洞共享平台(CNVD)收录了F5 BIG-IP设备TLS/SSL堆栈溢出漏洞“又称TicketBleed漏洞”(CNVD-2017-01171,CVE-2016-9244)。该漏洞原理类似于OpenSSL“心脏滴血”漏洞,远程攻击者利用该漏洞持续获取服务器端的内存数据。由于BIG-IP设备多用于互联网出入口流量管理和负载优化,有可能导致用户敏感信息(如:业务数据)泄露。不过根据当前测试结果,受影响范围还较为有限。

一、漏洞情况分析

F5 BIG-IP 链路控制器可以无缝地监控多条 WAN ISP 连接的可用性与性能,主要用于互联网出入口流量管理和负载优化。Session Tickets是加速重复连接的一项恢复技术。

BIG-IP虚拟服务器配置客户端SSL配置文件启用了非默认Session Tickets选项,当客户端提供SessionID和Session Tickets时, Session ID的长度可以在1到31个字节之间,而F5堆栈总是回显32字节的内存。攻击者利用该漏洞提供1字节Session ID可收到31字节的未初始化内存信息,从而获取其他会话安全套接字层(SSL)SessionID。该漏洞原理类似于OpenSSL“心脏滴血”漏洞,但通过漏洞一次只能获取31个字节数据,而不是64k,需要多次轮询执行攻击,并且仅影响专有的F5 TLS堆栈。

CNVD对该漏洞的综合评级为“高危”。目前,相关利用方式已经在互联网上公开,近期出现大量攻击尝试的可能。

二、漏洞影响范围

受此漏洞影响的设备类型和版本,以及受该漏洞影响的组件和功能的详细信息请参阅下表。根据CNVD秘书处普查情况,相关F5 BIG-IP设备共有70028台暴露在互联网上,而在中国境内有2213台BIG-IP设备(占全球比例3.16%),但测试未发现受到漏洞实际影响。根据漏洞研究者的抽查比例,互联网上443端口受该漏洞影响的443端口TLS服务比例约为0.2%。

产品名称

受影响版本

不受影响版本

威胁评级

受影响服务组件

BIG-IP LTM

12.0.0 - 12.1.2

11.4.0 - 11.6.1

11.6.1 HF2

11.2.1

High

BIG-IP virtual server*

BIG-IP AAM

12.0.0 - 12.1.2

11.4.0 - 11.6.1

11.6.1 HF2

High

BIG-IP virtual server*

BIG-IP AFM

12.0.0 - 12.1.2

11.4.0 - 11.6.1

11.6.1 HF2

High

BIG-IP virtual server*

BIG-IP Analytics

12.0.0 - 12.1.2

11.4.0 - 11.6.1

11.6.1 HF2

11.2.1

High

BIG-IP virtual server*

BIG-IP APM

12.0.0 - 12.1.2

11.4.0 - 11.6.1

11.6.1 HF2

11.2.1

High

BIG-IP virtual server*

BIG-IP ASM

12.0.0 - 12.1.2

11.4.0 - 11.6.1

11.6.1 HF2

11.2.1

High

BIG-IP virtual server*

BIG-IP GTM

11.4.0 - 11.6.1

11.6.1 HF2

11.2.1

High

BIG-IP virtual server*

BIG-IP Link Controller

12.0.0 - 12.1.2

11.4.0 - 11.6.1

11.6.1 HF2

11.2.1

High

BIG-IP virtual server*

BIG-IP PEM

12.0.0 - 12.1.2

11.4.0 - 11.6.1

11.6.1 HF2

High

BIG-IP virtual server*

BIG-IP PSM

11.4.0 - 11.4.1

None

High

BIG-IP virtual server*

三、漏洞修复建议

受影响的产品在本次公开披露时并非所有版本都可以通过升级解决。F5官方提供的临时解决方案如下:

1. 登录到配置实用程序

2. 在菜单上导航到本地流量>配置文件> SSL>客户端

3. 将配置的选项从基本切换到高级

4. 取消选中Session Ticket选项以禁用该功能

5. 单击更新以保存更改

附:参考链接:

https://filippo.io/Ticketbleed/

https://blog.filippo.io/finding-ticketbleed/?utm_source=tuicool&utm_medium=referral

https://support.f5.com/csp/article/K05121675

http://www.cnvd.org.cn/flaw/show/CNVD-2017-01171