نقص‌های تزریق پنهان در متعادل کننده‌های بار ترافیکی BIG-IP

دسته بندی ها : اخبار ۲۴ مرداد ۱۳۹۸ فایزه اشرفیان اشرفیان 90 بازدید

در ماه می ۲۰۱۹ (به روز شده در ژوئن)، F5 مشاوره‌ای در مورد احتمال وقوع مسئله‌ی تزریق در Tool Command Language (TCL) منتشر کرد که در متعادل کننده بار ترافیکی BIG-IP استفاده شده است. متعادل کننده‌های بار ترافیکی (Load balancers) برای اطمینان از مداوم بودن خدمات وب با حجم بالا ضروری هستند و BIG-IP در بین بانک‌ها، دولت‌ها و شرکت‌های بزرگ محبوب است.

مشکل با وصله شدن حل نمی‌شود. F5 در مشاوره‌اش توضیح داده است: « این یک آسیب پذیری در محصولات Tcl یا F5 نیست، بلکه موضوع مربوط به شیوه‌های کد نویسی مورد استفاده هنگام نوشتن کد Tcl است». با این وجود، تاثیر آن می‌تواند به مهاجمان اجازه دسترسی به load balancer و دستگاه میزبان آن، امکان خواندن ترافیک عبوری (از جمله اعتبارات کاربر) و امکان استفاده از این امر به عنوان یک نقطه شروع برای دسترسی به شبکه داخلی را بدهد.

عدم توانایی در وصله کردن مشکلات و دشواری شرکت‌ها برای دانستن این که آیا کد شخصی آنها مشکل را در معرض دید قرار می‌دهد یا نه، باعث شد که مشاور ارشد امنیتی F-Secure، Christoffer Jerkeby یک مقاله در مورد یافته‌های خود منتشر کند. تیم تحقیقاتی وی بیش از ۳۰۰۰۰۰ پیاده سازی فعال BIG-IP در سراسر جهان را کشف کردند (حدود ۶۰٪ از آنها در ایالات متحده) اما معتقدند که در عمل این رقم می‌تواند به میزان قابل توجهی بالاتر باشد.

مسئله امنیتی در iRules BIG-IP موجود است. iRules به اپراتورها اجازه می‌دهد تا ترافیک را بر اساس داده‌های سرآیند و نوع محتوا هدایت کنند تا بتوانند سوئیچینگ محتوا را با توجه به نیازهای دقیق سفارشی کنند. iRules توسط اپراتورها در TCL کدگذاری می‌شود و مشکل بوجود آمده به این دلیل است که شیوه‌های کد نویسی که در هر جای دیگر به صورت عادی پذیرفته شده‌اند، در اینجا پتانسیل تزریق دارند.

اگرچه بسته به کد دقیق iRules که توسعه پیدا کرده است، همه کاربران  BIG-IPآسیب پذیر نخواهد بود؛ Jerkeby می‌گوید: «ماهیت مبهم مسئله مورد نظر به این معنی است که بیشتر سازمان‌ها باید بررسی و تأیید کنند که آیا تحت تأثیر قرار گرفته‌اند یا نه.»

در صورت وجود نقص، سوءاستفاده از آن می‌تواند به آسانی ارسال یک دستور یا قطعه کد به عنوان بخشی از درخواست وب باشد. معمولا سه مرحله درگیر این نقص است: شناسایی فیلدی که iRules فرمانی را جایگزین می‌کند؛ آزمایش محل تزریق با استفاده از دستور ” info”؛ و پرداختن به منابع خارجی جهت ایجاد پایداری.

این فرایند باعث می شود دستگاه میزبان نرم افزار BIG-IP سازگار شود، که به عنوان یک  نقطه شروع برای انجام حملات بیشتر می‌تواند مورد استفاده قرار گیرد. در برخی از سوء استفاده ها ، ممکن است اقدامات مهاجم ثبت نشود. در موارد دیگر، مهاجم قادر است logها را حذف کرده و تحقیقات پس از حمله را دشوار کند.

مشکل کاربر BIG-IP این است که بفهمد این شرایط را داراست. Jerkeby در یک وبلاگ مرتبط توضیح می‌دهد: « این مسئله پیکربندی بسیار جدی است زیرا به اندازه کافی مخفیانه است که یک مهاجم بتواند وارد شود، به اهداف متنوعی برسد، و سپس رد خود را از بین ببرد. بعلاوه، بسیاری از سازمان‌ها برای یافتن و برطرف کردن مسائلی که در اعماق زنجیره‌های تأمین نرم افزار دفن شده‌اند، آماده نیستند و این مسئله به یک مشکل امنیتی بزرگ بالقوه تبدیل می‌شود. پیش بینی این مشکل دشوار، و مقابله با آن در یک حمله واقعی دشوارتر است، مگر این که بدانید به دنبال چه چیزی بگردید. »

بدون در دست داشتن وصله و عدم تمایل فعلی شرکت‌ها به بررسی عمیق در زمینه کدگذاری که در ظاهر عملکرد خوبی دارند، F-Secure نگران سوءاستفاده گسترده علیه صنایع بزرگ است. این شرکت می‌گوید: « احتمالاً این موضوع توجه bounty hunterهای باگ و مهاجمان را به خود جلب کند چون امکان اسکن گسترده اینترنت برای شناسایی و اکسپلویت کردن موارد آسیب‌پذیر تکنولوژی و در برخی موارد خودکار کردن این فرایند وجود دارد. »

جزئیات فنی در مورد نقص و شرایط تزریق و ابزارهای منبع باز برای کمک به شناسایی پیکربندی‌های ناامن را می‌توان در مقاله Jerkeby و مشاوره F5 یافت. اما نقص‌ها باید توسط هر کاربر پیدا شده و کاهش یابند.  Jerkebyمی‌گوید: « نکته مثبت این نوع مسئله امنیتی این است که همه افرادی که از این محصول استفاده می‌کنند، تحت تاثیر این حمله قرار نخواهند گرفت. اما نکته منفی این است که با وصله و یا بروزرسانی نرم‌افزاری از فروشنده، نمی‌توان مشکل را برطرف کرد؛ بنابراین سازمان‌ها وظیفه دارند تا بررسی کنند که آیا دچار این مشکل هستند یا خیر و در صورت پیدا کردن، آن را برطرف کنند. به همین دلیل برای هر کسی که از BIG-IP  استفاده می‌کند مهم است که نسبت به این موضوع حساس باشد. »

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

لینک کوتاه :

عضویت در خبرنامه ویژه مشتریان سیگما پلاس

با عضویت در خبرنامه ویژه سیگما پلاس از آخرین جشنواره های سایت باخبر شوید!