CISA 提醒称，威胁行动者正在滥用未加密的可持久性 F5 BIG-IP cookie 来识别和攻击位于目标网络上的内部设备。

通过映射内部设备，威胁行动者们在网络安全的规划阶段，可识别网络上的易受攻击设备。CISA提醒称，“CISA 发现网络威胁行动者们利用由 F5 BIG-IP 本地流量管理器 (LTM) 模块管理的未加密可持久性 cookie 来枚举网络上的其它非面向互联网的设备。恶意网络人员可利用从未加密可持久 cookie 中收集的信息来推断或识别其它网络资源并可能利用网络上其它设备中发现的漏洞。”

F5 可持久性会话 cookie

F5 BIG-IP 是用于负载均衡 web 应用和提供安全性的应用交付和流量管理工具套件，其中一个核心组件是本地流量管理器 (LTM) 组件，通过提供流量管理和加载平衡在多种服务器中分发网络流量。通过这一特性，客户优化负载均衡的服务器资源和高可用性。

该产品中的LTM模块，每次使用可持久性 cookie，将客户端 (web浏览器)中的流量指向相同的后端服务器（对于负载均衡至关重要），帮助维护会话的一致性。

F5在文档中提到，“cookie可持久性使用HTTP cookie增强可持久性。和所有的可持久性模式一样，HTTP cookie 确保同一个客户端的请求，在BIG-IP系统最初负载均衡后，被定向到相同的资源池成员中。如果该资源池成员不可用，则该系统会做出新的负载均衡决策。”

这些cookie 默认未加密，可能会通过遗留配置或性能考虑来维护操作完整性。从11.5.0版本开始，管理员可通过新的 “必选”选项在所有cookie 上执行加密。未选择该选项的人员可能会暴露到安全风险中。然而，这些 cookie 中包含编码的IP地址、端口号码和内部负载均衡服务器的负载均衡设置。

多年来，网络安全研究人员已分享过如何滥用未加密 cookie 来找到此前隐藏的内部服务器或可能的未知已暴露服务器，以扫描其中的漏洞并攻陷内部网络。BIG-IP 管理员也可借助Chrome 扩展解码这些cookie，调试连接。

CISA 提到，威胁行动者们已经在利用这一可能性，利用可能的配置问题发现网络。CISA 建议F5 BIG-IP 管理员查看厂商指南，了解如何加密这些可持久 cookie。由于中间点“偏好”配置选项生成了加密的 cookie 但还可导致系统接受未加密 cookie，因此该设置可用于迁移阶段来使此前发布的 cookie 在执行加密 cookie 前继续工作。

当设置为“必选”时，所有可持久 cookie 通过AES-192 加密算法进行加密。CISA 还提到F5还开发了一款诊断工具 “BIG-IP iHealth” 来检测产品中的配置不当问题并对管理员发出告警。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~