偵測

F5 網路 BIG-IP:BIG-IP SSL 弱點 (K21905460) (ROBOT)

high Nessus Plugin ID 104687

語系:

概要

遠端裝置缺少供應商提供的安全性修補程式。

說明

在 11.6.0-11.6.2 (已在 11.6.2 HF1 中修正)、12.0.0-12.1.2 HF1 (已在 12.1.2 HF2 中修正) 或 13.0.0-13.0.0 HF2 (已在 13.0.0 HF3 中修正) 等 BIG-IP 版本中,設有用戶端 SSL 設定檔的虛擬伺服器,其 RSA 容易遭到「自動調整型選定加密文字」攻擊 (又稱為 Bleichenbacher 攻擊),此弱點遭到利用時會造成加密訊息復原為純文字和/或攔截式 (MiTM) 攻擊,即使攻擊者並未獲得伺服器本身的私密金鑰也一樣 (又稱為 ROBOT 攻擊)。(CVE-2017-6168) 影響:若利用此弱點將加密訊息復原為純文字,則在大多數情況下會允許攻擊者僅在工作階段結束後讀取純文字訊息。只有使用 RSA 金鑰交換所建立的 TLS 工作階段容易遭到此攻擊。若要利用此弱點發動 MiTM 攻擊,攻擊者需先完成初步攻擊,初步攻擊可能需要在目標工作階段的交握期間 (已設定的交握逾時之窗口) 向伺服器發出數以百萬計的要求。此攻擊的發動方式可能會使用 RSA 簽名對任何 TLS 工作階段展開攻擊,但前提是虛擬伺服器也必須啟用使用 RSA 金鑰交換的加密套件。由於能發動此攻擊的時機、頻寬都很有限,加上延遲問題,此攻擊極難執行。此弱點會影響有下列設定的 BIG-IP 系統:與用戶端 SSL 設定檔相關聯且啟用 RSA 金鑰交換的虛擬伺服器;依照預設,RSA 金鑰交換為啟用狀態。由於此弱點之故,使用臨時加密套件 (DHE 或 ECDHE) 加密的擷取 TLS 工作階段在後續解密時無曝險之虞。重要:若以用戶端 SSL 設定檔來設定虛擬伺服器且停用「Generic Alert」選項 (預設為啟用),則伺服器較容易遭到攻擊,因為它們會回報特定的交握失敗,而非通用訊息。若以用戶端 SSL 設定檔來設定虛擬伺服器,且在「用戶端驗證」區段底下的選項設為需要「用戶端憑證」,則可降低先順利通過驗證之攻擊者所造成的威脅。如不使用用戶端憑證驗證,則此攻擊不會經過驗證且為匿名攻擊。在用戶端 SSL 設定檔內完全停用 RSA 金鑰交換加密套件 (例如,使用加密字串 DEFAULT:!RSA) 的虛擬伺服器「不」受此弱點影響。BIG-IP 組態公用程式、iControl 服務、big3d 收集代理程式以及 Centralized Management Infrastructure (CMI) 連線「不」受此弱點影響。由於此弱點之故,使用完整轉寄密碼 (PFS) 加密套件 (DHE 或 ECDHE) 擷取的工作階段傳輸無法進行解密。此弱點並非 RSA 私密金鑰復原攻擊,因此不會影響伺服器的私密金鑰。

解決方案

升級至列於 F5 解決方案 K21905460 中的其中一個無弱點版本。

另請參閱

https://support.f5.com/csp/article/K21905460

Plugin 詳細資訊

嚴重性: High

ID: 104687

檔案名稱: f5_bigip_SOL21905460.nasl

版本: 3.16

類型: local

已發布: 2017/11/20

已更新: 2019/7/17

組態: 啟用 Paranoid 模式

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.2

CVSS v2

風險因素: Medium

基本分數: 4.3

時間分數: 3.2

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS v3

風險因素: High

基本分數: 7.4

時間分數: 6.4

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:f5:big-ip_access_policy_manager, cpe:/a:f5:big-ip_advanced_firewall_manager, cpe:/a:f5:big-ip_application_acceleration_manager, cpe:/a:f5:big-ip_application_security_manager, cpe:/a:f5:big-ip_application_visibility_and_reporting, cpe:/a:f5:big-ip_link_controller, cpe:/a:f5:big-ip_local_traffic_manager, cpe:/a:f5:big-ip_policy_enforcement_manager, cpe:/h:f5:big-ip

必要的 KB 項目: Host/local_checks_enabled, Settings/ParanoidReport, Host/BIG-IP/hotfix, Host/BIG-IP/modules, Host/BIG-IP/version

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2017/11/17

弱點發布日期: 2017/11/17

參考資訊

CVE: CVE-2017-6168