TicketBleed: Sårbarhet i F5 Big-IP

Publisert: 09.02.2017

Kan gjøre det mulig å lekke ut hemmeligheter som TLS privatnøkler, lignende det som var mulig med HeartBleed.

Det har blitt oppdaget en sårbarhet i F5 BIG-IP som gjør det mulig for en angriper å lekke opp til 31 bytes uinitialisert minne. Dette kan gjøre det mulig å lekke ut hemmeligheter som TLS privatnøkler, lignende det som var mulig med HeartBleed.

Sårbarheten har fått navnet TicketBleed, og spores under CVE-2016-9244.
F5 har gitt sårbarheten ID 596340 (BIG-IP) [1], og har publisert en hotfix som skal løse problemet for de fleste enheter.
Utnyttelse av sårbarheten er avhengig av at "Session Ticket"-funksjonaliteten er aktivert.

For enhetene som ikke har en hotfix implemenetert bør man utføre skadereduserende tiltak som F5 anbefaler (Se [1]).

For å lese mer om sårbarheten kan lese her [2][3].
På samme side kan man også teste om man er påvirket.

Sårbarheten påvirker en rekke F5 systemer som brukes TLS (BIG-IP, ARX, BIG-IQ, m.m)

NorCERT anbefaler alle å oppdatere systemene sine og/eller følge anvisningene til F5.

  1. https://support.f5.com/csp/article/K05121675
  2. https://filippo.io/Ticketbleed/
  3. https://blog.filippo.io/finding-ticketbleed/