[PATCH][F5] Vol d’informations via la vulnérabilité « Ticketbleed » au sein de produits F5 BIG-IP

[PATCH][F5] Vol d’informations via la vulnérabilité « Ticketbleed » au sein de produits F5 BIG-IP

Le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons de revenir sur la publication de la vulnérabilité Ticketbleed au sein de l’implémentation du protocole TLS au sein de produits F5 BIG-IP.


Description :

Une vulnérabilité a été corrigée au sein de produits F5 BIG IP. Son exploitation permettait à un attaquant de voler des informations présentes en mémoire.

La faille de sécurité référencée CVE-2016-9244 provenait d’une erreur au sein de l’implémentation de la fonctionnalité de « tickets de sessions » non activée par défaut. Cette vulnérabilité pouvait mener au vol de 31 octets de mémoire aléatoires du système à distance.

Cette faille a été nommée « Ticketbleed » en référence à Heartbleed puisque le fonctionnement de la vulnérabilité est quasi identique. Pour mémoire, la vulnérabilité Heartbleed permettait de récupérer 64 000 octets de mémoire aléatoires.

D’après les chercheurs à l’origine de la découverte, seuls 949 systèmes parmi les 1 000 000 de sites web les plus connus (Alexa) seraient vulnérables .

À l’heure actuelle, aucun code d’exploitation n’est connu. Cependant une preuve de concept permettant de tester la vulnérabilité est disponible.


Vulnérables :

  • BIG-IP LTM 11.4.0 à 11.6.1
  • BIG-IP AAM 11.4.0 à 11.6.1
  • BIG-IP AFM 11.4.0 à 11.6.1
  • BIG-IP Analytics 11.4.0 à 11.6.1
  • BIG-IP APM 11.4.0 à 11.6.1
  • BIG-IP ASM 11.4.0 à 11.6.1
  • BIG-IP GTM 11.4.0 à 11.6.1
  • BIG-IP Link Controller 11.4.0 à 11.6.1
  • BIG-IP PEM 11.4.0 à 11.6.1

Avis d’expert :

Bien que cette vulnérabilité divulgue des informations présentes en mémoire, les données pouvant être récupérées sont aléatoires et en nombre restreint (31 octets). De plus, la fonctionnalité vulnérable n’est pas activée par défaut.
Pour ces raisons, nous estimons que la vulnérabilité, bien que fortement médiatisée de par sa ressemblance avec Heartbleed, n’est pas de criticité urgente.

Solution de contournement :

Il est possible de contourner cette vulnérabilité en désactivant la fonctionnalité de ticket de session de F5.

Recommandation :

Le CERT-XMCO recommande l’installation des mises à jour disponibles auprès du support F5.

Référence :

Référence CERT-XMCO :
CXA-2017-0448


Etienne Baudin

Consultant Cert-XMCO