0xNews - F5 Big-IP 에서 Kerberos KDC 스푸핑 취약점이 발견
0xNews - F5 Big-IP 에서 Kerberos KDC 스푸핑 취약점이 발견
Silverfort 발표
F5 Big-IP 애플리케이션 제공 서비스에 영향을 미치는 Kerberos KDC 보안 기능의 새로운 우회 취약점 발견
KDC 스푸핑 취약점은 공격자가 Kerberos 인증을 Big-IP 접속 정책 관리자 APM Access Policy Manager 와 보안 정책을 우회
민감한 워크로드에 자유롭게 접속할 수 있게 함
어떤 경우에는 Big-IP 관리 콘솔에 대한 인증을 우회하는데도 사용 가능
Kerberos는 상호 인증을 위해 클라이언트-서버 모델에 의존하는 인증 프로토콜
KDC Key Distribution Center 라는 신뢰할 수 있는 중개자가 필요
이 경우 Kerberos 인증 서버 AS Authentication Server 또는 티켓 부여 서버 Ticket Granting Server
이는 모든 사용자의 공유 비밀 키 저장소 역할뿐만 아니라 어떤 사용자가 어떤 네트워크 서버에서 어떤 서비스에 대한 접속 권한을 가지고 있는지에 대한 정보를 의미
따라서 사용자가 서버의 특정 서비스에 접속하려 할 때 사용자는 자신의 신원을 확인하기 위해 사용자 이름과 암호를 제공하라는 메시지가 표시
이후 AS 서버는 사용자가 서버에 대한 접속 권한이 있는지 확인
따라서 사용자가 만료 시간까지 서비스를 사용할 수 있도록 티켓을 발행
또한 프로세스의 일부로써 KDC 를 서버에 인증하는 것이 중요
서버에 대한 KDC 인증이 없으면 Kerberos 보안이 손상 가능
공격자가 Big-IP 와 도메인 컨트롤러 간의 네트워크 통신을 가로챌 수 있음
KDC 인증 완전 회피 가능
도메인 컨트롤러 KDC 는 인증을 완전 회피 확인
Kerberos 프로토콜이 올바른 방식으로 구현되면 KDC 를 가장하려는 공격자는 인증 보호에 대해 우회 불가
따라서 스푸핑 공격은 클라이언트와 도메인 컨트롤러 사이의 통신을 가로채기 위해 안전하지 않은 Kerberos 구성이 존재할 가능성이 있음
이러한 환경 후 클라이언트에 자신을 인증 처리
이와 유사한 취약점은
CVE-2020-3125 지정된 Cisco ASA
CVE-2020-2002 지정된 Palo Alto Networks PAN-OS
CVE-2019-4545 지정된 IBM QRadar
등 이전에 발견된 취약점에 이은 네번째 스푸핑 취약점으로 확인
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.