CISA (آژانس امنیت سایبری و زیرساختها) هشدار میدهد که بازیگران تهدید (هکرها یا مهاجمان) مشاهده شدهاند که از کوکیهای دائمی F5 BIG-IP که به صورت رمزنگاری نشده هستند، سوءاستفاده میکنند تا دیگر دستگاههای داخلی در شبکه هدف را شناسایی و مورد هدف قرار دهند.
با شناسایی و نقشهبرداری از دستگاههای داخلی، بازیگران تهدید (هکرها) میتوانند بهطور بالقوه دستگاههای آسیبپذیر در شبکه را شناسایی کنند که این کار بخشی از مراحل برنامهریزی در حملات سایبری است.
CISA مشاهده کرده است که بازیگران تهدید سایبری از کوکیهای دائمی رمزنگارینشدهای که توسط ماژول F5 BIG-IP Local Traffic Manager (LTM) مدیریت میشوند، برای شناسایی و فهرستبرداری از سایر دستگاههای غیرمتصل به اینترنت در شبکه استفاده میکنند.
یک بازیگر سایبری مخرب میتواند از اطلاعات جمعآوریشده از کوکیهای دائمی رمزنگارینشده استفاده کند تا منابع اضافی شبکه را استنتاج کرده یا شناسایی کند و بهطور بالقوه از آسیبپذیریهای موجود در سایر دستگاههای حاضر در شبکه بهرهبرداری کند.
کوکیهای دائمی Session F5
F5 BIG-IP یک مجموعه از ابزارهای تحویل برنامه و مدیریت ترافیک است که برای توزیع بار برنامههای وب و همچنین ارائه امنیت طراحی شده است.
یکی از ماژولهای اصلی F5 BIG-IP، ماژول مدیریت ترافیک محلی (Local Traffic Manager یا LTM) است که مدیریت ترافیک و توزیع بار را فراهم میکند تا ترافیک شبکه را در بین چندین سرور توزیع کند. با استفاده از این ویژگی، مشتریان میتوانند منابع سرورهای توزیع بار شده خود را بهینه کرده و در دسترس بودن بالا (High Availability) را تضمین کنند.
ماژول مدیریت ترافیک محلی ( Local Traffic Manager یا LTM ) در این محصول از کوکیهای دائمی استفاده میکند که به حفظ ثبات نشست (جلسه) کمک میکند، بهطوری که ترافیک از مشتریان (مرورگرهای وب) هر بار به همان سرور پشتیبان (backend server) هدایت میشود، که این موضوع برای توزیع بار (load balancing) حیاتی است.
Cookie persistenceبا استفاده از کوکیهای HTTP، پایداری را تحمیل میکند، که این موضوع در مستندات F5 توضیح داده شده است.
مانند سایر حالتهای پایداری، کوکیهای HTTP اطمینان حاصل میکنند که درخواستهای از سوی همان مشتری به همان عضو pool member هدایت میشود، پس از اینکه سیستم BIG-IP ابتدا آنها را توزیع بار (load-balance) میکند. اگر همان عضو Pool در دسترس نباشد، سیستم تصمیم جدیدی برای توزیع بار اتخاذ میکند.
عدم رمزنگاری کوکیها ممکن است به دلایل عملیاتی و عملکردی باشد تا با سیستمهای قدیمی سازگار باشند و عملکرد بهینهتری داشته باشند.
از نسخه ۱۱٫۵٫۰ به بعد، مدیران گزینه جدیدی به نام Required برای تحمیل رمزنگاری بر روی تمام کوکیها دریافت کردند. کسانی که تصمیم به فعالسازی آن نگرفتند، در معرض خطرات امنیتی قرار داشتند.
این کوکیها حاوی اطلاعات حساسی مانند آدرسهای IP، شمارههای پورت و تنظیمات مربوط به توزیع بار سرورهای داخلی هستند، که میتواند نشاندهنده وضعیت و پیکربندی سیستمهای شبکه باشد.
برای سالها، محققان امنیت سایبری به اشتراک گذاشتهاند که چگونه کوکیهای رمزنگارینشده میتوانند برای شناسایی سرورهای داخلی پنهان یا سرورهای ناشناختهای که ممکن است در معرض خطر باشند، سوءاستفاده شوند و این سرورها میتوانند برای شناسایی آسیبپذیریها اسکن شده و برای نفوذ به یک شبکه داخلی مورد استفاده قرار گیرند. همچنین، یک افزونه برای مرورگر کروم منتشر شده است تا به رمزگشایی این کوکیها کمک کند و به مدیران BIG-IP در رفع مشکلات ارتباطی کمک کند.
بر اساس اطلاعات CISA، مهاجمان سایبری از ضعفهای موجود در تنظیمات شبکه برای شناسایی و کشف منابع و نقاط ضعف در شبکهها استفاده میکنند.
CISA پیشنهاد میکند مدیران F5 BIG-IP باید دستورالعملهای مربوط به رمزنگاری کوکیهای دائمی را بررسی کنند تا از امنیت دادههای خود اطمینان حاصل کنند.
توجه داشته باشید که گزینه پیکربندی “ترجیحی” (Preferred) در میانه، کوکیهای رمزنگاریشده تولید میکند اما همچنین به سیستم اجازه میدهد کوکیهای رمزنگارینشده را نیز بپذیرد. این تنظیم میتواند در مرحله مهاجرت استفاده شود تا اجازه دهد کوکیهای قبلاً صادرشده به کار خود ادامه دهند قبل از اینکه رمزنگاری کوکیها الزامی شود.
با فعال کردن گزینه “الزامی”، تمامی کوکیهای دائمی به صورت امن و با استفاده از رمزنگاری AES-192 محافظت میشوند.
CISA همچنین اشاره میکند که F5 یک ابزار تشخیصی به نام “BIG-IP iHealth” توسعه داده است که برای شناسایی پیکربندیهای نادرست در این محصول طراحی شده و به مدیران در مورد آنها هشدار میدهد.
