F5负载均衡系统爆出漏洞，谁都可以登录进去

网络设备制造商F5声称，它交付的负载均衡系统很容易遭到libssh身份验证绕过缺陷的影响――这意味着，凡是能够通过网络或互联网访问该设备的人只要提问得当，就有可能登录进去。

该安全漏洞让攻击者得以诱骗服务器让他在没有任何有效凭据（登录信息）的情况下可以获得访问权。服务器本以为是SSH2_MSG_USERAUTH_REQUEST消息，但黑客发送的却是SSH2_MSG_USERAUTH_SUCCESS，服务器接受该消息后，让不法分子可以登录进去，不再进一步询问问题。

业界对于这个低级的编程错误一笑了之，因为它看起来很简单。然而，正如AWS的科尔姆•麦卡萨格（Colm MacCárthaigh）在Twitter上特别指出：“状态机（state machine）很难！”

在固件和软件中使用libssh的设备制造商需要认真检查自己的产品，搞清楚哪些在使用这个易受攻击的库，必要时发布相应设备的补丁。这个缺陷并不影响OpenSSH，所以如果你在自己的设备上运行经典的sshd，不会受到影响。

F5已经在自查产品组合，宣布调查已完成（https://support.f5.com/csp/article/K52868493），声称只有Big-IP高级防火墙管理器（AFM）系列的一小部分设备易受攻击。

周四的安全公告声称，Big-IP AFM分支12.x、13.x和14.x都使用了易受攻击的基于libssh的SSH代理，因此存在恶意访问的风险。

该公司警告：“没有控制平面受到这个问题的威胁。只有在虚拟服务器上使用BIG-IP AFM数据平面的SSH代理功能时，才会暴露风险。已发现版本0.7.6和0.8.4之前的libssh服务器端状态机中存在安全漏洞。恶意客户端可以在不先进行身份验证的情况下建立通道，从而导致未授权的访问。”

这家制造商还没有时间来发布修复程序，但是表示眼下管理员可以阻止AFM SSH代理公钥身份验证，让用户改而重新使用“密码和键盘交互式验证”。这显然不会触发该漏洞。

状态机很难

虽然我们讨论的话题是libssh，但麦卡萨格的整个帖子倒是简要地介绍了亚马逊云巨头在如何避免类似问题。

问题在于，程序员们忍不住将处理消息的状态机代码编写得一团糟，因而很难发现逻辑缺陷。

麦卡萨格表示，发现像libssh中的漏洞这样的错误不仅仅需要随意的代码审查：“之所以很难在代码审查中揪出这些错误，是因为典型的方法将解析消息的代码和进入到下一个状态的代码混合起来。比如说，你可能有一个解析器处理第一个‘Hello’消息...在它运行之前，某段代码可能就像‘嘿，这是一个问候消息，调用那个解析器！’，然后结束时，那个解析器会有一系列分支，基本上是‘嘿，如果我处在该模式下，且X已启用，接下来去这里，否则接下来去那里。’”

AWS实验室有自己的TLS/SSL实现机制s2n，在这行代码中（https://github.com/awslabs/s2n/blob/master/tls/s2n_handshake_io.c#L62），你可以看到它如何避免让消息触发令人困惑的分支。

AWS的s2n状态机表

所有内容都放在函数指针表中，麦卡萨格将这种设计归功于AWS的道格•劳伦斯（Doug Lawrence）和Signal的特雷弗•佩林（Trevor Perrin）――你可以“使状态机的每一个可能的有效顺序完全线性化”，另外s2n经过了精心编写，确保“顺序错乱的消息会关闭一切。”

声明：本文来自云头条，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。