F5 BIG-IP es vulnerable a la suplantaci贸n de identidad de Kerberos KDC

Investigadores han revelado una nueva vulnerabilidad de bypass en la funci贸n de seguridad Kerberos Key Distribution Center (KDC) que afecta a los servicios de entrega de aplicaciones de F5 Big-IP.

“La vulnerabilidad KDC Spoofing permite a un atacante eludir la autenticaci贸n Kerberos a Big-IP Access Policy Manager (APM), saltarse las pol铆ticas de seguridad y obtener acceso sin restricciones a las cargas de trabajo sensibles”, se帽alan en un informe los investigadores de Silverfort Yaron Kassner y Rotem Zach, citado por Hacker News. Los investigadores concluyen que “en algunos casos, esto se puede utilizar para eludir la autenticaci贸n a la consola de administraci贸n de Big-IP tambi茅n”.

Coincidiendo con la revelaci贸n p煤blica, F5 ha lanzado un parche para solucionar la debilidad, reporta Hacker News.

Kerberos es un protocolo de autenticaci贸n que se basa en un modelo cliente-servidor para la autenticaci贸n mutua y requiere un intermediario de confianza llamado Centro de Distribuci贸n de Claves (KDC) – un Servidor de Autenticaci贸n Kerberos (AS) o un Servidor de Concesi贸n de Tickets en este caso – que act煤a como un repositorio de claves secretas compartidas de todos los usuarios, as铆 como informaci贸n sobre qu茅 usuarios tienen privilegios de acceso a qu茅 servicios en qu茅 servidores de red.

As铆, cuando un usuario quiere acceder a un servicio concreto en un servidor, se le pide que proporcione su nombre de usuario y contrase帽a para verificar su identidad, tras lo cual Kerberos comprueba si el usuario tiene privilegios de acceso al servidor y, en caso afirmativo, emite un “ticket” que permite a este utilizar el servicio hasta su hora de expiraci贸n.

Tambi茅n es esencial como parte del proceso la autenticaci贸n del KDC al servidor, en ausencia de la cual la seguridad de Kerberos se ve comprometida, permitiendo as铆 que un atacante que tenga la capacidad de interceptar y controlar la comunicaci贸n de red entre Big-IP y el controlador de dominio (que es el KDC) pueda eludir la autenticaci贸n por completo.

Kassner y Zach explican que, en pocas palabras, la idea es que cuando el protocolo Kerberos se implementa de la manera correcta, un adversario que intente suplantar al KDC no puede eludir las protecciones de autenticaci贸n. El ataque de suplantaci贸n, por tanto, se basa en la posibilidad de que existan configuraciones inseguras de Kerberos para apropiarse de la comunicaci贸n entre el cliente y el controlador de dominio, aprovech谩ndola para crear un KDC fraudulento que desv铆e el tr谩fico destinado al controlador hacia el falso KDC, y posteriormente autenticarse ante el cliente.




Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.