Security Alert: Ticketbleed

Vandaag, donderdag 9 februari, werd bekend dat verschillende F5 systemen kwetsbaar zijn voor Ticketbleed. De officiële naam is CVE-2016-9244. Ticketbleed is een lek in het TLS-protocol.

Hacken_handen_toetsenbord

Ticketbleed

TLS en diens voorganger SSL, zijn encryptie-protocollen die de communicatie tussen computers (zoals bijvoorbeeld op het internet) beveiligen. Eenvoudig gezegd komt het erop neer dat een aanvaller een speciaal geconstrueerd verzoek naar de server kan sturen. Gevolg is dat de server een min of meer willekeurig deel van zijn geheugen terugstuurt ter grootte van maximaal 31 bytes.

(Een byte bestaat op de meeste computers uit 8 bits. Een bit kan twee waarden aannemen 0 of 1. Als je iets op de computer opslaat neemt dat vaak meer dan 1.000 bytes in beslag. Duizend bytes noem je een kilobyte. Kilobyte heeft als afkorting kB.)

Heartbleed

Het geheugen van een server kan gevoelige informatie bevatten zoals encryptiesleutels. Ticketbleed is te vergelijken met Heartbleed (https://nl.wikipedia.org/wiki/Heartbleed). In het geval van Heartbleed stuurde het geheugen veel meer gegevens terug (64kB). Het misbruiken van Ticketbleed is daardoor iets moeilijker. Een aanvaller zal de aanval een aantal keer moeten herhalen.

Oorzaak van het lek

Door oorzaak van het lek ligt in de wijze waarop F5 ‘session tickets’ in het TLS-protocol heeft geïmplementeerd. Wanneer een client, bijvoorbeeld een browser, het SessionID en Session Ticket stuurt, stuurt de server het SessionID terug om de acceptatie van het Session Ticket te bevestigen. Een SessionID heeft een lengte tussen 1 en 31 bytes. De F5 TLS-implementatie van stuurt altijd 32 bytes geheugen terug, ook al was het SessionID korter. Een aanvaller die een SessionID van 1 byte stuurt krijgt 31 bytes uit het geheugen teruggestuurd.

Load balancing

Het betreft vooral F5 BIG IP load balancers. Load balancing is een techniek die wordt gebruikt om bijvoorbeeld netwerkverkeer dat servers afkomt te verdelen. Op deze manier worden de servers optimaal gebruikt. Dit komt de verwerkingstijd ten goede.

Controleren op kwetsbaarheid

Indien uw organisatie gebruik maakt van F5 systemen, kunt u via deze website controleren of u kwetsbaar bent: https://filippo.io/Ticketbleed/. Wanneer het systeem kwetsbaar is, raden wij u aan om het systeem aan te passen naar een niet kwetsbare versie.

Meer informatie over deze kwetsbaarheid kan worden gevonden op: https://blog.filippo.io/finding-ticketbleed/

Een overzicht van de getroffen systemen en configuraties kunt u hier vinden: https://support.f5.com/csp/article/K05121675

Contactformulier

 

Meer artikelen

Bekijk al het nieuws