F5负载均衡系统爆出漏洞,谁都可以登录进去

栏目: 后端 · 发布时间: 6年前

内容简介:网络设备制造商F5声称,它交付的负载均衡系统很容易遭到libssh身份验证绕过缺陷的影响――这意味着,凡是能够通过网络或互联网访问该设备的人只要提问得当,就有可能登录进去。该安全漏洞让攻击者得以诱骗服务器让他在没有任何有效凭据(登录信息)的情况下可以获得访问权。服务器本以为是SSH2_MSG_USERAUTH_REQUEST消息,但黑客发送的却是SSH2_MSG_USERAUTH_SUCCESS,服务器接受该消息后,让不法分子可以登录进去,不再进一步询问问题。业界对于这个低级的编程错误一笑了之,因为它看起

网络设备制造商F5声称,它交付的负载均衡系统很容易遭到libssh身份验证绕过缺陷的影响――这意味着,凡是能够通过网络或互联网访问该设备的人只要提问得当,就有可能登录进去。

该安全漏洞让攻击者得以诱骗服务器让他在没有任何有效凭据(登录信息)的情况下可以获得访问权。服务器本以为是SSH2_MSG_USERAUTH_REQUEST消息,但黑客发送的却是SSH2_MSG_USERAUTH_SUCCESS,服务器接受该消息后,让不法分子可以登录进去,不再进一步询问问题。

业界对于这个低级的编程错误一笑了之,因为它看起来很简单。然而,正如AWS的科尔姆•麦卡萨格(Colm MacCárthaigh)在Twitter上特别指出:“状态机(state machine)很难!”

在固件和软件中使用libssh的设备制造商需要认真检查自己的产品,搞清楚哪些在使用这个易受攻击的库,必要时发布相应设备的补丁。这个缺陷并不影响OpenSSH,所以如果你在自己的设备上运行经典的sshd,不会受到影响。

F5已经在自查产品组合,宣布调查已完成(https://support.f5.com/csp/article/K52868493),声称只有Big-IP高级防火墙管理器(AFM)系列的一小部分设备易受攻击。

周四的安全公告声称,Big-IP AFM分支12.x、13.x和14.x都使用了易受攻击的基于libssh的SSH代理,因此存在恶意访问的风险。

该公司警告:“没有控制平面受到这个问题的威胁。只有在虚拟服务器上使用BIG-IP AFM数据平面的SSH代理功能时,才会暴露风险。已发现版本0.7.6和0.8.4之前的libssh服务器端状态机中存在安全漏洞。恶意客户端可以在不先进行身份验证的情况下建立通道,从而导致未授权的访问。”

这家制造商还没有时间来发布修复程序,但是表示眼下管理员可以阻止AFM SSH代理公钥身份验证,让用户改而重新使用“密码和键盘交互式验证”。这显然不会触发该漏洞。

状态机很难

虽然我们讨论的话题是libssh,但麦卡萨格的整个帖子倒是简要地介绍了亚马逊云巨头在如何避免类似问题。

问题在于,程序员们忍不住将处理消息的状态机代码编写得一团糟,因而很难发现逻辑缺陷。

麦卡萨格表示,发现像libssh中的漏洞这样的错误不仅仅需要随意的代码审查:“之所以很难在代码审查中揪出这些错误,是因为典型的方法将解析消息的代码和进入到下一个状态的代码混合起来。比如说,你可能有一个解析器处理第一个‘Hello’消息...在它运行之前,某段代码可能就像‘嘿,这是一个问候消息,调用那个解析器!’,然后结束时,那个解析器会有一系列分支,基本上是‘嘿,如果我处在该模式下,且X已启用,接下来去这里,否则接下来去那里。’”

AWS实验室有自己的TLS/SSL实现机制s2n,在这行代码中(https://github.com/awslabs/s2n/blob/master/tls/s2n_handshake_io.c#L62),你可以看到它如何避免让消息触发令人困惑的分支。

F5负载均衡系统爆出漏洞,谁都可以登录进去

AWS的s2n状态机表

所有内容都放在函数指针表中,麦卡萨格将这种设计归功于AWS的道格•劳伦斯(Doug Lawrence)和Signal的特雷弗•佩林(Trevor Perrin)――你可以“使状态机的每一个可能的有效顺序完全线性化”,另外s2n经过了精心编写,确保“顺序错乱的消息会关闭一切。”

声明:本文来自云头条,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上所述就是小编给大家介绍的《F5负载均衡系统爆出漏洞,谁都可以登录进去》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

洞察人心

洞察人心

Steve Portigal / 张振东、蒋晓、戴传庆、孙启玉 / 电子工业出版社 / 2015-10 / 65.00元

用户在哪里,有什么需求?他们为什么会选用竞争对手的产品而不是你的?从大数据中固然能得出一些结论,但是要搞清楚作为地球上顶级复杂生物的人的真实想法,还是走近他们,面对面访谈更直接有效。 用户访谈是一项技能,与一般的交谈有本质上的区别,需要遵从一定的步骤和方法。优秀的采访者用最自然的方式和用户进行交流,看似不经意,而实际上该说什么、何时说、如何说以及什么时候应该沉默,都有精准的权衡,都试图在闲聊......一起来看看 《洞察人心》 这本书的介绍吧!

URL 编码/解码
URL 编码/解码

URL 编码/解码

MD5 加密
MD5 加密

MD5 加密工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具