网络安全研究人员周三披露了Kerberos密钥分发中心(KDC)安全功能中的一个新的旁路漏洞(CVE-2021-23008),该漏洞会影响F5 Big-IP应用程序交付服务。
Silverfort的研究人员Yaron Kassner和Rotem Zach在一份报告中说:“ KDC欺骗漏洞使攻击者可以绕过Kerberos认证到Big-IP访问策略管理器(APM),绕过安全策略并不受限制地访问敏感的工作负载。” “在某些情况下,这也可以用来绕过Big-IP管理控制台的身份验证。”
与公开披露一致的是,F5发布了一个补丁程序来解决这一弱点。
Kerberos是一种身份验证协议,它依赖于客户端-服务器模型进行相互身份验证,并且需要一个称为密钥分发中心(KDC)的受信任中介(在这种情况下为Kerberos身份验证服务器(AS)或票证授予服务器)作为存储库。所有用户的共享密钥的信息,以及有关哪些用户对哪些网络服务器上的哪些服务具有访问特权的信息。
因此,当用户(例如Alice)想要访问服务器(Bob)上的特定服务时,系统会提示Alice提供她的用户名和密码以验证其身份,此后,AS会检查Alice是否具有对Bob的访问权限,以及是否因此,发出允许用户使用该服务直至其到期时间的“票证”。
“远程攻击者可以使用欺骗性的AS-REP响应来劫持KDC连接。对于配置了AD身份验证和SSO(单点登录)代理的APM访问策略,是否使用了与此漏洞相关的欺骗性凭据,具体取决于后端系统验证收到的身份验证令牌,访问很可能会失败,” F5在一份通报中说。“还可以为AIG访问策略配置BIG-IP系统身份验证。通过APM访问策略针对管理用户的与此漏洞相关的欺骗性凭据将导致本地管理访问。”
作为该过程的一部分,必不可少的是向服务器进行KDC身份验证,如果不这样做,则Kerberos的安全性将受到损害,从而使攻击者能够劫持Big-IP与域控制器之间的网络通信。 (即KDC)完全避开身份验证。
简而言之,想法是当以正确的方式实施Kerberos协议时,试图冒充KDC的对手无法绕过身份验证保护。因此,欺骗攻击取决于是否存在不安全的Kerberos配置,以劫持客户端与域控制器之间的通信,从而利用它来创建欺诈性的KDC,该欺诈性的KDC会将用于控制器的流量转移到伪造的KDC,然后向客户端进行身份验证。
这是Silverfort去年在思科ASA(CVE-2020-3125),Palo Alto Networks PAN-OS(CVE-2020-2002)和IBM QRadar(CVE-2019-4545)中发现类似问题之后发现的第四个此类欺骗性漏洞。
*编译:Domino
*来自:thehackernews