آسیب‌پذیری خونریزی قلبی در F5 BIG-IP

به گزارش واحد متخصصین سایبربان، تجهیزات BIG-IP شرکت F5 دارای آسیب‌پذیری خطرناکی هستند که به مهاجم دسترسی از راه دور می‌دهد. این آسیب‌پذیری با کد CVE-2016-9244 شناخته می‌شود و دارای نام اختصاصی Ticketbleed است؛ این آسیب‌پذیری به دلیل شباهتش به آسیب‌پذیری خونریزی قلبی (Heartbleed) به این نام خوانده می‌شود.

آسیب‌پذیری Ticketbleed، اطلاعات موجود در حافظه تجهیزات F5 را استخراج می‌کند. سرورهای F5 که تحت تأثیر این آسیب‌پذیری هستند شامل LTM، AAM، AFM، Analytics، APM، ASM، GTM، Link Controller، PEM و PSM می‌شود.

این آسیب‌پذیری به دلیل اشکال در نحوه پیاده‌سازی بلیت‌های نشست (Session Ticket) است؛ استفاده از روش ازسرگیری مجدد به‌منظور بالابردن سرعت ارتباط‌های تکراری عامل این آسیب‌پذیری است. هنگامی‌که مشتری (Client) شناساگر نشست (Session ID) را به همراه بلیت نشست (Session Ticket) به سرور ارسال می‌کند، سرور به‌منظور تائید بلیت، شناساگر نشست را که طولی از 1 تا 31 بایت دارد، به مشتری برای پاسخ بازمی‌گرداند.

مشابه روش آسیب‌پذیری خونریزی قلبی، F5 همیشه 32 بایت از حافظه را بازمی‌گرداند، حتی اگر شناساگر نشست کوتاه‌تر باشد؛ بدین ترتیب مهاجم با ارسال یک بایت شناساگر نشست، می‌تواند 31 بایت از حافظه را بخواند. فرق این آسیب‌پذیری با آسیب‌پذیری خونریزی قلبی در حجم افشای داده است که خونریزی قلبی 64kb از داده را افشا می‌کند. مهاجم با استفاده از این آسیب‌پذیری می‌تواند شناساگرهای نشست SSL و آنچه که در حافظه تجهیزات موجود است را دریافت کند.

به‌منظور مقابله با این آسیب‌پذیری تا زمان ارائه وصله توسط F5، مدیران شبکه می‌توانند بلیت نشست را در ارتباط SSL غیرفعال کنند. این کار با استفاده از مسیر Local Traffic > Profiles > SSL > Client قابل انجام است.