F5 网络 BIG-IP:BIG-IP SSL 漏洞 (K21905460) (ROBOT)

high Nessus 插件 ID 104687

简介

远程设备缺少供应商提供的安全修补程序。

描述

BIG-IP 版本 11.6.0-11.6.2(11.6.2 HF1 中已修复)、12.0.0-12.1.2 HF1(12.1.2 HF2 中已修复)或 13.0.0-13.0.0 HF2(13.0.0 HF3 中已修复)中,配置有客户端 SSL 配置文件的虚拟服务器容易受到针对 RSA 的自适应选择密文攻击(又称为 Bleichenbacher 攻击),当此漏洞受到利用时,即使攻击者未获得服务器私钥本身的访问权限,也可能会造成加密消息明文恢复和/或中间人 (MiTM) 攻击,又称为 ROBOT 攻击。(CVE-2017-6168) 影响 在大部分实际情况中,利用此漏洞进行加密消息的明文恢复只有在会话完成后才能够让攻击者读取明文。只有使用 RSA 密钥交换建立的 TLS 会话会受到此攻击。利用此漏洞进行 MiTM 攻击要求攻击者在目标会话的握手阶段,于握手超时的窗口配置内完成初始攻击,这可能需要数百万次服务器请求。此攻击可能针对使用 RSA 签名的任何 TLS 会话进行,但前提是虚拟服务器上也启用了使用 RSA 密钥交换的密码套件。有限的机会窗口、带宽限制和延迟造成此攻击明显更难以执行。此漏洞会影响带有下列配置的 BIG-IP 系统:与启用了 RSA 密钥交换的客户端 SSL 配置文件相关联的虚拟服务器;RSA 密钥交换会默认启用。捕获到的使用临时密码套件(DHE 或 ECDHE)加密的 TLS 会话后续不存在受此漏洞解密的风险。重要:如果虚拟服务器的客户端 SSL 配置文件中禁用了 Generic Alert 选项(默认情况下会启用),则风险会较高,因为这些服务器会报告具体的握手失败消息,而不是一般消息。如果虚拟服务器的客户端 SSL 配置文件中将客户端身份验证部分下的客户端证书选项设置为需要,则会限制对能够首先成功进行身份验证的攻击者的威胁。没有客户端证书身份验证,此攻击就会未经身份验证且匿名。客户端 SSL 配置文件中完全禁用 RSA 密钥交换密码套件的虚拟服务器(例如,密码字符串 DEFAULT:!RSA)不受此漏洞影响。BIG-IP 配置实用工具、iControl 服务、big3d 收集代理和集中式管理基础架构 (CMI) 连接不受此漏洞影响。从使用了完全向前保密 (PFS) 密码套件(DHE 或 ECDHE)的会话中捕获到的流量不会受此漏洞解密。此漏洞不是 RSA 私钥恢复攻击,不会破坏服务器私钥。

解决方案

升级到 F5 解决方案 K21905460 中列出的无漏洞版本之一。

另见

https://support.f5.com/csp/article/K21905460

插件详情

严重性: High

ID: 104687

文件名: f5_bigip_SOL21905460.nasl

版本: 3.16

类型: local

发布时间: 2017/11/20

最近更新时间: 2019/7/17

配置: 启用偏执模式

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.2

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.2

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS v3

风险因素: High

基本分数: 7.4

时间分数: 6.4

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:f5:big-ip_access_policy_manager, cpe:/a:f5:big-ip_advanced_firewall_manager, cpe:/a:f5:big-ip_application_acceleration_manager, cpe:/a:f5:big-ip_application_security_manager, cpe:/a:f5:big-ip_application_visibility_and_reporting, cpe:/a:f5:big-ip_link_controller, cpe:/a:f5:big-ip_local_traffic_manager, cpe:/a:f5:big-ip_policy_enforcement_manager, cpe:/h:f5:big-ip

必需的 KB 项: Host/local_checks_enabled, Settings/ParanoidReport, Host/BIG-IP/hotfix, Host/BIG-IP/modules, Host/BIG-IP/version

易利用性: No known exploits are available

补丁发布日期: 2017/11/17

漏洞发布日期: 2017/11/17

参考资料信息

CVE: CVE-2017-6168