“La vulnerabilidad KDC Spoofing permite a un atacante eludir la autenticación Kerberos a Big-IP Access Policy Manager (APM), saltarse las políticas de seguridad y obtener acceso sin restricciones a las cargas de trabajo sensibles”, señalan en un informe los investigadores de Silverfort Yaron Kassner y Rotem Zach, citado por Hacker News. Los investigadores concluyen que “en algunos casos, esto se puede utilizar para eludir la autenticación a la consola de administración de Big-IP también”.
Coincidiendo con la revelación pública, F5 ha lanzado un parche para solucionar la debilidad, reporta Hacker News.
Kerberos es un protocolo de autenticación que se basa en un modelo cliente-servidor para la autenticación mutua y requiere un intermediario de confianza llamado Centro de Distribución de Claves (KDC) – un Servidor de Autenticación Kerberos (AS) o un Servidor de Concesión de Tickets en este caso – que actúa como un repositorio de claves secretas compartidas de todos los usuarios, así como información sobre qué usuarios tienen privilegios de acceso a qué servicios en qué servidores de red.
Así, cuando un usuario quiere acceder a un servicio concreto en un servidor, se le pide que proporcione su nombre de usuario y contraseña para verificar su identidad, tras lo cual Kerberos comprueba si el usuario tiene privilegios de acceso al servidor y, en caso afirmativo, emite un “ticket” que permite a este utilizar el servicio hasta su hora de expiración.
También es esencial como parte del proceso la autenticación del KDC al servidor, en ausencia de la cual la seguridad de Kerberos se ve comprometida, permitiendo así que un atacante que tenga la capacidad de interceptar y controlar la comunicación de red entre Big-IP y el controlador de dominio (que es el KDC) pueda eludir la autenticación por completo.
Kassner y Zach explican que, en pocas palabras, la idea es que cuando el protocolo Kerberos se implementa de la manera correcta, un adversario que intente suplantar al KDC no puede eludir las protecciones de autenticación. El ataque de suplantación, por tanto, se basa en la posibilidad de que existan configuraciones inseguras de Kerberos para apropiarse de la comunicación entre el cliente y el controlador de dominio, aprovechándola para crear un KDC fraudulento que desvíe el tráfico destinado al controlador hacia el falso KDC, y posteriormente autenticarse ante el cliente.
