Husker du Heartbleed? Lignende sårbarhed dukker op i proprietær krypto-implementering

F5's loadbalancer lider af en skavank, der gør det muligt at hive vilkårlige data ud af hukommelsen på en server.

En ny sårbarhed er dukket op, som giver associationer til den frygtede Heartbleed sårbarhed fra 2014.

Navnet Heartbleed kan formentlig stadig få det til at løbe koldt ned ad ryggen på it-sikkerhedsansvarlige. Sårbarheden betød, at det var muligt at få en server til at spytte vilkårlige, og potentielt følsomme, data ud fra hukommelsen.

Den nyopdagede sårbarhed bliver kaldt Ticketbleed. Og som navnet også antyder, minder den om Heartbleed, fordi også Ticketbleed gør det muligt at hive data ud af en serverhukommelse. Dog er Ticketbleed i udgangspunktet mindre slem end Heartbleed.

Det er kryptomand fra virksomheden Cloudflare Filippo Valsorda, der sammen med en kollega har opdaget Ticketbleed. Opdagelsesprocessen fortæller han i tekniske detaljer nærmere om her.

Samme domæne har i øvrigt lagt ryg til en populær scanner, som siden Heartbleed kom frem, har kunnet fortælle om et givent site var sårbar i forhold til denne sårbarhed.

Mens Heartbleed relaterer sig til en sårbarhed i det udbredte open source OpenSSL-bibliotek, så vedrører Ticketbleed en sårbarhed i TLS/SSL-stakken i visse proprietære produkter fra virksomheden F5, der har hovedsæde i Seattle.

31 bytes

Nærmere bestemt drejer det sig om F5's BIG-IP-platform, der bruges til loadbalancing. For at Ticketbleed-sårbarheden gør sig gældende, så skal en funktion til 'Session Tickets' være slået til, det er den ikke som standard.

Heartbleed kunne bruges til at få en server til at lække 64 kilobyte hukommelse ad gangen, mens Ticketbleed 'kun' kan hive 31 byte hukommelse ud af en sårbar server ad gangen.

Men det er naturligvis ikke hensigtsmæssigt, at en server overhovedet kan lokkes til at lække indholdet til sin hukommelse, der i princippet kan indeholde alt fra kodeord i klartekst til krypteringsnøgler.

Det er uvist præcist, hvad der kan hives ud af en sårbar servers hukommelsen via Ticketbleed, oplyser Filippo Valsorda i sit blogindlæg.

Han advarer dog mod antagelser i forhold til den slags sårbarheder og henviser i den forbindelse til en Heartbleed-konkurrence, som Cloudflare stod bag. Her havde virksomheden sat en server med en sårbar udgave af OpenSSL op for at demonstrere alvorligheden af Heartbleed.

Konkurrencen gik ud på at få fat i serverens private nøgle via sårbarheden, hvilket lykkedes for flere af de deltagende sikkerhedsfolk.

Sårbare produkter

F5 har i dag, 9. februar, udgivet et advisory med sårbare produkter, hvor det også fremgår, om der findes en ikke-sårbar nyere version af produktet.

Udover at opgradere til en ikke-sårbar version, såfremt dette ellers er en mulighed, så kan Ticketbleed-sårbarheden også imødegås ved at slå ‘Session Ticket’-funktionen fra på et sårbart system.

Ticketbleed udspringer af den måde, som ‘Session Tickets’ er implementeret på i de sårbare systemer. Funktionen bruges til at genoptage en krypteret session. Når en klient i den forbindelse sender et ‘Session ID’ sammen med en ‘Session Ticket’, så er det meningen, serveren skal svare tilbage med Session ID'et for at indikere, at den pågældende Session Ticket er accepteret.

Den sårbare F5-stak svarer altid tilbage med et Session ID på 32 bytes, også selvom Session ID'et sendt fra klienten var kortere. På den måde kan klienten sende en Session ID på 1 byte til serveren for så at modtage yderligere 31 bytes. De 31 bytes er i dette tilfælde uinitialiseret hukommelse fra serveren.

Filippo Valsorda har scannet sig frem til, at mellem 0,1 procent og 0,2 procent af Alexas liste over de en million mest populære hjemmesider har vist sig sårbare i forhold til Ticketbleed.

Det er muligt at teste sites for, om de er sårbare overfor Ticketbleed her.

F5 og Filippo Valsorda roser iøvrigt hinanden på deres respektive sites for samarbejdet i forhold til Ticketbleed.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (0)

Kommentarer (0)
Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 10:29

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017