F5 Networks BIG-IP设备中存在一个严重漏洞,漏洞编号为CVE-2016-9244。该漏洞被命名为Ticketbleed,可被远程攻击者利用于窃取内存中的敏感信息,包括敏感数据(比如SSL Session ID)。
受影响的F5 BIG-IP设备包括LTM、AAM、AFM、Analytics、APM、ASM、GTM、 Link Controller、PEM、PSM。
F5设备中存在致命漏洞
发现这枚漏洞的是著名安全专家Filippo Valsorda及其同事,他们表示:
该漏洞存在于执行Session Tickets的过程中,Session Tickets是加速重复连接的一项恢复技术。当客户端提供Session ID和Session Tickets时,服务器会返回该Session ID,以示接受了Session Tickets。Session ID的长度只要在1到31个字节之间就行。
即便Session ID很短,甚至只有几个字节,F5堆也会返回32字节的内存。所以,攻击者提供1字节的Session ID,F5堆便会返回一个31字节的未初始化内存。
Filippo Valsorda是在去年10月底将这一问题披露给F5的,F5也已经确认了这一问题并发布了安全公告:
造成该漏洞的原因是,BIG-IP虚拟服务器配置了一个客户端SSL属性,其中的非默认Session Tickets选项可能会泄露31字节的未初始化内存。远程攻击者可能利用该漏洞获得SSL Session ID,甚至还可能会拿到其他一些敏感信息。
F5公司建议用户最好暂时禁用Session Tickets选项,禁用操作为Local Traffic > Profiles > SSL > Client。Filippo Valsorda也自己写了一个工具,大家可以用这个工具检查自己的网站是否受该漏洞的影响。目前扫描发现受影响的网站包括:
www.adnxs.com www.aktuality.sk www.ancestry.com www.ancestry.co.uk www.blesk.cz www.clarin.com www.findagrave.com www.mercadolibre.com.ar www.mercadolibre.com.co www.mercadolibre.com.mx www.mercadolibre.com.pe www.mercadolibre.com.ve www.mercadolivre.com.br www.netteller.com www.paychex.com
危害程度堪比“心脏出血”漏洞
大家还记得心脏出血漏洞吗?一个漏洞可以让任何人都能读取系统的运行内存,因影响巨大,故取名为心脏出血。所以这里同样引用bleed一词,类比于心脏出血,可见其严重程度非同一般。