Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Kritische Sicherheitslücke: Traffic von F5 BIG-IP-Appliances lässt sich entschlüsseln

Firewalls, Load-Balancer und andere BIG-IP-Systeme sind anfällig für einen Angriff, bei dem dritte den verschlüsselten SSL-Traffic zwischen Client und Appliance abhören können. Admins, die solche Systeme im Einsatz haben sollten schnell handeln.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Kritische Sicherheitslücke: Traffic von F5 BIG-IP-Appliances lässt sich entschlüsseln

(Bild: F5 Networks)

Lesezeit: 3 Min.
Security
Von
  • Fabian A. Scherschel

Der Hersteller F5 hat mit einem Update eine kritische Sicherheitslücke (CVE-2017-6168) in einer ganzen Reihe seiner BIG-IP-Appliances geschlossen, über die ein Angreifer unter bestimmten Umständen SSL-Verbindungen abhören kann. Der Hersteller empfiehlt Admins, das Update umgehend einzuspielen, da es keine andere verlässliche Möglichkeit gebe, das Problem zu beheben. Betroffen sind die folgenden Produkte:
  • BIG-IP LTM: Versionen 11.6.0 bis 11.6.2, 12.0.0 bis 12.1.2 und 13.0.0
  • BIG IP AAM: Versionen 11.6.0 bis 11.6.2, 12.0.0 bis 12.1.2 und 13.0.0
  • BIG-IP AFM: Versionen 11.6.0 bis 11.6.2, 12.0.0 bis 12.1.2 und 13.0.0
  • BIG-IP Analytics: Versionen 11.6.0 bis 11.6.2, 12.0.0 bis 12.1.2 und 13.0.0
  • BIG-IP APM: Versionen 11.6.0 bis 11.6.2, 12.0.0 bis 12.1.2 und 13.0.0
  • BIG-IP ASM: Versionen 11.6.0 bis 11.6.2, 12.0.0 bis 12.1.2 und 13.0.0
  • BIG-IP DNS: Versionen 12.0.0 bis 12.1.2 und 13.0.0
  • BIG IP GTM: Versionen 11.6.0 bis 11.6.2
  • BIG-IP Link Controller: Versionen 11.6.0 bis 11.6.2, 12.0.0 bis 12.1.2 und 13.0.0
  • BIG-IP PEM: Versionen 11.6.0 bis 11.6.2, 12.0.0 bis 12.1.2 und 13.0.0
  • F5 WebSafe: Versionen 11.6.2, 12.0.0 bis 12.1.2 und 13.0.0

Der gute alte Bleichenbacher

Diese Systeme sind anfällig für einen sogenannten Bleichenbacher-Angriff auf die RSA-Verschlüsselung. Dabei manipuliert der Angreifer einen bestehenden Hash so, dass er diesen mit einem selbst erzeugten Schlüssel dechiffrieren kann. So gelangt er an den Plaintext der Kommunikation zwischen einem Client und dem BIG-IP-Endgerät. Allerdings funktioniert das laut F5 nur bei Verbindungen, die bereits beendet wurden und nur bei solchen, die RSA-Schlüssel verwenden. Wie genau betroffene Kunden an Updates kommen, beschreibt die Firma in einer Sicherheitswarnung zu dem Thema.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Der Angriff ist analog zur DROWN-Attacke, nur dass bei den BIG-IP-Geräten der Angreifer die Verbindung nicht auf das Steinzeit-Protokoll SSLv2 downgraden muss. Der Sicherheitschef des Webdienstes Cloudfare, Nick Sullivan, schätzt die Gefahr, die durch die F5-Lücke ausgeht, als sehr groß ein. Es sei schwer, die Einschätzung, wie schlimm dieser Bug sei, zu übertreiben, sagte er auf Twitter. Cloudflare schützt viele große Webseiten vor Überlast durch legitime Besucher und vor DDoS-Angriffen – Einsatzgebiete, für die auch die BIG-IP-Appliances entwickelt wurden. (fab)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten