损坏的设备很难找到,可以作为进一步攻击的跳板。在F5 Networks的BIG-IP负载平衡器中发现编码缺陷后,组织敦促他们扫描其网络,寻找可能允许攻击者拦截和窃取敏感数据的妥协迹象。
负载平衡器中的缺陷被许多大型组织(如银行和政府机构)用来简化网络流量,这包括向F5的iRules引擎注入临时负载。
很难找到,但在某些情况下,黑客可以简单地提交命令或代码片段作为Web请求的一部分,然后该技术就会被执行。
从那里,攻击者可以通过连接到本地管理服务或扫描受害组织的内部网络来完全控制BIG-IP实例。
根据网络安全公司F-Secure的数据,在互联网上已经发现了超过30万个活跃的BIG-IP实现,但实际数字可能要高得多。
“这个漏洞很容易被利用,但很难被发现,”发现这个漏洞的F-Secure高级安全顾问Christoffer Jerkeby说。
“有可能一些黑客今天利用了这个漏洞,但受害者永远不会知道。成功的攻击只存在于内存中,默认情况下不会记录传入的请求。”
事实上,在许多情况下,没有证据表明可能发生了攻击,因为损坏的设备没有记录操作。在其他情况下,攻击者可以在侵犯组织网络后删除详细记录其活动的日志。
Jerkeby告诉IT专业人士,大企业应该使用免费的开源工具,只能用来发现自己是否受到缺陷的影响,甚至是否有针对性。
同时,应该在语法错误事件上设置带有警报的SIEM日志记录,如果攻击者手动测试注入并且未能生成正确的注入,可能会发生这种情况。
不解决此漏洞的影响是严重的,可能会导致攻击者拦截和操纵Web流量来收集敏感信息、身份验证凭据和应用程序机密。攻击者还可以利用此漏洞攻击任何组织的网络服务用户。
虽然并非所有BIG-IP用户都受到影响,但金融机构和公共部门组织的普及以及潜在问题的模糊性意味着组织应立即调查和评估其风险。
“除非一个组织对这项技术进行了深入的调查,否则他们很可能会遇到这个问题,”Jerkeby继续说道。
“即使在资源丰富的公司中非常了解安全性的人也会犯这个错误。因此,如果我们想帮助组织更好地保护自己免受潜在的违规行为,传播对这个问题的认识是非常重要的。”
F5 Networks发言人告诉IT专业人士,这个问题不是BIG-IP或Tcl的漏洞,而是没有遵循安全编码实践的结果。
“像大多数编程或脚本语言一样,您可以用一种会产生漏洞的方式编写代码。
“我们一直在与研究人员就文件和通知进行合作,以确保客户能够评估其风险,并采取必要措施来减轻风险。
“Tcl脚本的最佳实践是避免所有表达式,并确保它们不会被意外替换或评估。建议客户评估Tcl脚本,并根据本指南进行他们认为合适的所有更改。”