10:00
12/6/2012

Mamy kolejny tragikomiczny błąd na miarę opisywanego przez nas wczoraj 0day’a na roota w MySQL. Otóż okazuje się, że bez specjalnego wysiłku można dostać roota w kolejnym ważnym składniku sieci — tym razem chodzi o load balancery BigIP od F5 Networks.

Backdoor w BigIP od F5

Okazało się, że wszystkie BigIP od F5 mają swoistego rodzaju backdoora. Istnieje jeden, publicznie dostępny, prywatny klucz SSH, który został autoryzowany do zdalnych połączeń na każde z urządzeń BigIP i to na konto roota. Oto publiczna część tego klucza:

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAvIhC5skTzxyHif/7iy3yhxuK6/OB13hjPqrskogkYFrcW8OK4VJ T+5+Fx7wd4sQCnVn8rNqahw/x6sfcOMDI/Xvn4yKU4t8TnYf2MpUVr4ndz39L5Ds1n7Si1m2suUNxWbK v58I8+NMhlt2ITraSuTU0NGymWOc8+LNi+MHXdLk= SCCP Superuser

F5 już opublikowało patcha, HD Moore szacuje, że 45% wszystkich instalacji BigIP od F5 umożliwia dostęp do SSH z publicznego internetu, a więc jest podatnych na atak.

F5 BigIP

F5 BigIP

I teraz najlepsze: klucz prywatny potrzebny do “przeprowadzenia” ataku znajduje w filesystemie samego BigIP F5, a więc każdy klient ma do niego dostęp (musi tylko wiedzieć, gdzie szukać). Oczywiście każdy klient ma też dostęp do dowolnego innego urządzenia BigIP F5, które zezwala na połączenia na porcie SSH ;)

PS. Aby sprawdzić, czy znane wam adresy BigIP od F5 są podatne na ten atak, możecie wykorzystać moduł auxiliary/scanner/ssh/ssh_identify_pubkeys z metasploicie służący do skanowania SSH pod kątem obsługi konkretnego klucza publicznego (tu: klucz publiczny wklejony powyżej). Najpiękniejsze jest jednak to, że w większości przypadków nie będziecie w stanie stwierdzić, czy ktoś skorzystał z tego “backdoora” i spenetrował wasze urządzenie. Root bowiem może zatrzeć po sobie ślady…

Przeczytaj także:

22 komentarzy

Dodaj komentarz
  1. jakby troszeczke fail … :D

  2. Między innymi MS na tym siedzi, ciekawe czy ktoś próbował :E

  3. I dlatego właśnie na routerach, NASach, i wszystkim innym gdy tylko mogę, stawiam Debiana i konfiguruję go sam…
    Parafrazując reklamę pewnego napoju mlecznego: Jak można nie wiedzieć, co tam może siedzieć? :P

    • No tylko w debianie tez zdazają sie luki

    • to postaw na debianie tak wydajny loadbalancer jak f5 :)

    • AFAIK load balancer zwykle jest potrzebny w miejscu, gdzie rozwiązania software’owe nie dają rady więc… nope.

      PS. @BL4D3: zda.rz.ają

    • Przecież stare porzekadło mówi ,że “na debianie się nie da”.

    • No tak, tylko luka, a backdoor to co innego. Tu chodzi o fakt, że można sobie zajrzeć i zobaczyć, jakie klucze są w naszym urządzeniu.
      I niestety wiem, że z wydajnością mógłby być problem bez ścisłej integracji ze sprzętem. Wiem też jednak, że dzisiaj nie zaufałbym rozwiązaniu typu black-box – ostatnio takie tylne drzwi znajduje się w prawie wszystkim. Zdaje się, że jedyna nadzieja w otwartych projektach układów na FPGA.

  4. Odpowiednie służby dbają o dostęp do informacji od wielu lat. Czasem mniej skutecznie,wtedy wychodzi to na jaw. Ale nic straconego, dopiero całość działań stanowi o sukcesie

    • tajna komórka straży pożarnej inwigiluje nasze kuchenki xD

    • @xd- powiedzial pies tropiciel…

  5. Domyslnie na urządzeniach F5 dostep po SSH jest jedynie z interfejsu managementowego, ktory nie ma prawa byc wpiety do sieci publicznej. Mimo to mozna wystawic dodatkowo SSH na interfejsach obslugujacych ruch biznesowy i wte grupe uderza najbardziej to zagrozenie.

  6. Nie pierwszy fail F5, przedlaty tez mieli podobne wtopy.

  7. cyt.
    “PS. Aby sprawdzić, (…) wykorzystać moduł auxiliary/scanner/ssh/ssh_identify_pubkeys [b]z[/b] metasploicie ”
    powinno być chyba “w”…

  8. A co to za śmieszna firma? Myślałem, że tylko CISCO się liczy..

    BIG-IP, BIG-Fail, BIG-..

    • BIG MAC? ;)

    • BIG-CYC :D

    • Mało w życiu słyszałeś.

    • Cisco może i się liczy, ale nie warto liczyć na Cisco. Jest wiele innych rozwiązań, a Cisco u nas jest po prostu znane.

  9. […] pierwszy i zapewne nie ostatni… Czytelnicy Niebezpiecznika powinni pamiętać niedawną wpadkę dotyczącą loadbalancerów F5 oraz backdoory w switchach firm 3Com, Dell oraz […]

  10. […] po poważnej wpadce firmy F5, mamy kolejnego producenta sprzętu, który uważa, że trzymanie zapisanych na stałe w firmware […]

  11. […] wpadki z kluczem SSH (którą zaliczyła także firma F5 w loadbalacnerze BigIP oraz Siemens w SCADA), Cisco załatało także 2 inne podatności. Jedna z nich, w webpanelu […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.