总机:020-87516161 传真:020-87516161-8040
地址:广州市天河北路898号信源大厦3206-3211室 邮编:510660
安全公告编号:CNTA-2017-0008
近日,国家信息安全漏洞共享平台(CNVD)收录了F5 BIG-IP设备TLS/SSL堆栈溢出漏洞“又称TicketBleed漏洞”(CNVD-2017-01171,CVE-2016-9244)。该漏洞原理类似于OpenSSL“心脏滴血”漏洞,远程攻击者利用该漏洞持续获取服务器端的内存数据。由于BIG-IP设备多用于互联网出入口流量管理和负载优化,有可能导致用户敏感信息(如:业务数据)泄露。不过根据当前测试结果,受影响范围还较为有限。
一、漏洞情况分析
F5BIG-IP 链路控制器可以无缝地监控多条 WAN ISP 连接的可用性与性能,主要用于互联网出入口流量管理和负载优化。Session Tickets是加速重复连接的一项恢复技术。
BIG-IP虚拟服务器配置客户端SSL配置文件启用了非默认Session Tickets选项,当客户端提供SessionID和SessionTickets时, Session ID的长度可以在1到31个字节之间,而F5堆栈总是回显32字节的内存。攻击者利用该漏洞提供1字节Session ID可收到31字节的未初始化内存信息,从而获取其他会话安全套接字层(SSL)SessionID。该漏洞原理类似于OpenSSL“心脏滴血”漏洞,但通过漏洞一次只能获取31个字节数据,而不是64k,需要多次轮询执行攻击,并且仅影响专有的F5 TLS堆栈。
CNVD对该漏洞的综合评级为“高危”。目前,相关利用方式已经在互联网上公开,近期出现大量攻击尝试的可能。
二、漏洞影响范围
受此漏洞影响的设备类型和版本,以及受该漏洞影响的组件和功能的详细信息请参阅下表。根据CNVD秘书处普查情况,相关F5 BIG-IP设备共有70028台暴露在互联网上,而在中国境内有2213台BIG-IP设备(占全球比例3.16%),但测试未发现受到漏洞实际影响。根据漏洞研究者的抽查比例,互联网上443端口受该漏洞影响的443端口TLS服务比例约为0.2%。
| 产品名称 | 受影响版本 | 不受影响版本 | 威胁评级 | 受影响服务组件 |
| BIG-IP LTM | 12.0.0 - 12.1.2 11.4.0 - 11.6.1 |
11.6.1 HF2 11.2.1 |
High | BIG-IP virtual server* |
| BIG-IP AAM | 12.0.0 - 12.1.2 11.4.0 - 11.6.1 |
11.6.1 HF2 | High | BIG-IP virtual server* |
| BIG-IP AFM | 12.0.0 - 12.1.2 11.4.0 - 11.6.1 |
11.6.1 HF2 | High | BIG-IP virtual server* |
| BIG-IP Analytics | 12.0.0 - 12.1.2 11.4.0 - 11.6.1 |
11.6.1 HF2 11.2.1 |
High | BIG-IP virtual server* |
| BIG-IP APM | 12.0.0 - 12.1.2 11.4.0 - 11.6.1 |
11.6.1 HF2 11.2.1 |
High | BIG-IP virtual server* |
| BIG-IP ASM | 12.0.0 - 12.1.2 11.4.0 - 11.6.1 |
11.6.1 HF2 11.2.1 |
High | BIG-IP virtual server* |
| BIG-IP GTM | 11.4.0 - 11.6.1 |
11.6.1 HF2 11.2.1 |
High | BIG-IP virtual server* |
| BIG-IP Link Controller | 12.0.0 - 12.1.2 11.4.0 - 11.6.1 |
11.6.1 HF2 11.2.1 |
High | BIG-IP virtual server* |
| BIG-IP PEM | 12.0.0 - 12.1.2 11.4.0 - 11.6.1 |
11.6.1 HF2 | High | BIG-IP virtual server* |
| BIG-IP PSM | 11.4.0 - 11.4.1 | None | High | BIG-IP virtual server* |
三、漏洞修复建议
受影响的产品在本次公开披露时并非所有版本都可以通过升级解决。F5官方提供的临时解决方案如下:
1.登录到配置实用程序
2.在菜单上导航到本地流量>配置文件>SSL>客户端
3.将配置的选项从基本切换到高级
4.取消选中Session Ticket选项以禁用该功能
5.单击更新以保存更改
附:参考链接:
https://filippo.io/Ticketbleed/
https://blog.filippo.io/finding-ticketbleed/?utm_source=tuicool&utm_medium=referral
https://support.f5.com/csp/article/K05121675
http://www.cnvd.org.cn/flaw/show/CNVD-2017-01171