CISA 警告：F5 BIG-IP クッキーを悪用するハッカーが内部サーバをマッピング

CISA: Hackers abuse F5 BIG-IP cookies to map internal servers

2024/10/11 BleepingComputer — CISA が警告しているのは、標的ネットワーク内のデバイスを特定して標的化するために、暗号化されていない永続的な F5 BIG-IP クッキーを、脅威アクターが悪用しているという状況である。この脅威アクターは、サイバー攻撃の計画段階の一部として、内部デバイスをマッピングすることで、ネットワーク上の脆弱なデバイスを特定する可能性を得ている。

CISA は、「F5 BIG-IP Local Traffic Manager (LTM) モジュールが管理する、暗号化されていない永続的なクッキーを悪用する脅威アクターが、インターネットに露出していない、内部ネットワーク上のデバイス群を列挙しているのを確認した」と警告している。

同機関によると、「暗号化されていない永続的なクッキーから収集した情報を悪用する攻撃者は、その他のネットワーク・リソースを推測／特定し、ネットワーク上に存在する他のデバイスの脆弱性を悪用する可能性を得た」という。

F5 の永続セッション・クッキー

F5 BIG-IP は、アプリケーション配信／トラフィック管理のためのツールのスイートであり、Web アプリケーションの負荷分散とセキュリティの提供を目的としている。

そのコアモジュールの１つである Local Traffic Manager (LTM) は、トラフィック管理と負荷分散を行い、ネットワーク・トラフィックを複数のサーバーに分散させる。したがって、この機能を使用するユーザーは、負荷分散されたサーバ・リソースを最適化し、高可用性を達成できる。

この製品に搭載されている Local Traffic Manager (LTM) モジュールは、クライアント (Web ブラウザ) からのトラフィックを、同じバックエンド・サーバに繰り返して転送することで、セッションの一貫性を維持している。そのために用いられる永続性クッキーは、ロード・バランシングにおいて不可欠な機能である。

F5 のドキュメントでは、「クッキーの永続性は、HTTP クッキーを使用して確保される。全ての永続モードと同様に、この HTTP クッキーは、BIG-IP システムが最初にロードバランス処理を行った後に、同じクライアントからのリクエストを、同じプール・メンバーに送信することを保証する。同じプールメンバーが利用できない場合には、システムは新しいロードバランスの決定を行う」と説明されている。

ただし、これらのクッキーは、デフォルトでは暗号化されていない。その理由は、レガシー・コンフィグとの整合性の維持と、パフォーマンス上の向上にあると思われる。

バージョン 11.5.0 以降において、すべてのクッキーに暗号化を強制する、新しい “Required” オプションが管理者に提供されている。つまり、このオプションを有効化しない場合には、セキュリティ・リスクにさらされることになる。

しかし、これらのクッキーには、内部の負荷分散サーバのエンコードされた IP アドレス／ポート番号／負荷分散設定が含まれている。

長年にわたり、サイバーセキュリティの研究者たちが共有してきた懸念は、暗号化されていないクッキーの悪用により、未知の公開サーバが発見される可能性である。それにより、これまでは隠されていた内部サーバや脆弱性がスキャンされ、内部ネットワークへの侵入を許すことになる。また、BIG-IP 管理者たちが、接続トラブル・シューティングを行う際に、これらのクッキーを解読する Chrome エクステンションもリリースされている。

CISA によると、すでに脅威アクターたちは、この侵入の可能性に気づき、標的ネットワークを発見するために悪用しているという。

CISA が、F5 BIG-IP 管理者たちに対して推奨するのは、これらの永続的クッキーを暗号化する方法について、ベンダーの指示 (K14784／K23254150) を確認することである。

利便性と安全性の中間に位置する “Preferred” コンフィグ・オプションは、暗号化クッキーを生成するが、暗号化されていないクッキーの受け入れも許可する点に注意してほしい。このコンフィグは、移行フェーズでの使用を想定したものであり、暗号化クッキーを強制する前に、以前に発行されたクッキーが引き続き機能するようにしている。

コンフィグ・オプションを “Required” に設定すると、すべての永続的クッキーは、強力な AES-192 暗号化方式でエンコードされる。

CISA によると、製品のミスコンフィグレーションを検知して管理者に警告するように設計された、“BIG-IP iHealth” という診断ツールが、F5 では開発されているという。

F5 で発見された、なかなか根の深い問題という感じですね。他のロードバランシング・システムは、どうなっているのでしょうか？ よろしければ、F5 BIG-IP で検索も、ご参照ください。