CISA avertit que des acteurs de la menace ont été observés en train d’abuser des cookies persistants non cryptés F5 BIG-IP pour identifier et cibler d’autres périphériques internes sur le réseau ciblé.
En cartographiant les périphériques internes, les acteurs de la menace peuvent potentiellement identifier les périphériques vulnérables sur le réseau dans le cadre des étapes de planification des cyberattaques.
« CISA a observé des acteurs de la cybermenace tirer parti des cookies persistants non cryptés gérés par le module F5 BIG-IP Local Traffic Manager (LTM) pour énumérer d’autres appareils non connectés à Internet sur le réseau », prévient CISA.
« Un cyber-acteur malveillant pourrait exploiter les informations recueillies à partir de cookies de persistance non cryptés pour déduire ou identifier des ressources réseau supplémentaires et potentiellement exploiter les vulnérabilités trouvées dans d’autres appareils présents sur le réseau. »
F5 cookies de session persistants
F5 BIG-IP est une suite d’outils de livraison d’applications et de gestion du trafic pour équilibrer la charge des applications Web et assurer la sécurité.
L’un de ses modules de base est le module Local Traffic Manager (LTM), qui assure la gestion du trafic et l’équilibrage de la charge pour répartir le trafic réseau sur plusieurs serveurs. Grâce à cette fonctionnalité, les clients optimisent leurs ressources serveur à charge équilibrée et leur haute disponibilité.
Le module Local Traffic Manager (LTM) du produit utilise des cookies de persistance qui aident à maintenir la cohérence de la session en dirigeant le trafic des clients (navigateurs Web) vers le même serveur principal à chaque fois, ce qui est crucial pour l’équilibrage de la charge.
« La persistance des cookies applique la persistance à l’aide de cookies HTTP », explique la documentation de F5.
« Comme pour tous les modes de persistance, les cookies HTTP garantissent que les requêtes du même client sont dirigées vers le même membre du pool après que le système BIG-IP les ait initialement équilibrées. Si le même membre du pool n’est pas disponible, le système prend une nouvelle décision d’équilibrage de charge. »
Ces cookies ne sont pas cryptés par défaut, susceptibles de maintenir l’intégrité opérationnelle avec les configurations héritées ou en raison de considérations de performance.
À partir de la version 11.5.0 et au-delà, les administrateurs ont reçu une nouvelle option « Obligatoire » pour appliquer le cryptage sur tous les cookies. Ceux qui ont choisi de ne pas l’activer ont été exposés à des risques de sécurité.
Cependant, ces cookies contiennent des adresses IP codées, des numéros de port et des configurations d’équilibrage de charge des serveurs internes à équilibrage de charge.
Pendant des années, les chercheurs en cybersécurité ont expliqué comment les cookies non cryptés peuvent être utilisés de manière abusive pour trouver des serveurs internes précédemment cachés ou d’éventuels serveurs exposés inconnus qui peuvent être analysés à la recherche de vulnérabilités et utilisés pour violer un réseau interne. Une extension Chrome a également été publiée pour décoder ces cookies afin d’aider les administrateurs BIG-IP à dépanner les connexions.
Selon CISA, les acteurs de la menace exploitent déjà ce potentiel, exploitant des configurations laxistes pour la découverte du réseau.
CISA recommande aux administrateurs de F5 BIG-IP de consulter les instructions du fournisseur (également ici) sur la façon de crypter ces cookies persistants.
Notez qu’une option de configuration « Préférée » au milieu génère des cookies cryptés mais permet également au système d’accepter les cookies non cryptés. Ce paramètre peut être utilisé pendant la phase de migration pour permettre aux cookies précédemment émis de continuer à fonctionner avant d’appliquer les cookies cryptés.
Lorsqu’ils sont définis sur « Requis », tous les cookies persistants sont chiffrés à l’aide d’un cryptage AES-192 puissant.
CISA note également que F5 a développé un outil de diagnostic nommé « BIG-IP iHealth » conçu pour détecter les erreurs de configuration sur le produit et en avertir les administrateurs.