«El vector inicial es una inyección SQL en el formulario de inicio de sesión», dijo a CSO Vlad Babkin, el investigador de seguridad de Eclypsium que encontró la falla. «En teoría, debería ser posible evitar el inicio de sesión, pero sentimos que nuestra prueba de explotabilidad fue suficiente para diagnosticar la vulnerabilidad».
Los hashes débiles contribuyeron a la vulnerabilidad
En teoría, los hashes criptográficos no deberían ser reversibles y son el método recomendado para almacenar contraseñas dentro de bases de datos. En la práctica, sin embargo, su seguridad depende del algoritmo de hash utilizado (algunos tienen vulnerabilidades conocidas y se consideran inseguros), la configuración utilizada para la operación, la longitud de las contraseñas de texto sin formato que fueron sometidas a hash y la potencia informática disponible para el atacante.
En este caso, BIG-IP Next Central Manager utilizó el algoritmo bcrypt para el hash, pero lo utilizó con un factor de coste de 6, que según los investigadores de Eclypsium es demasiado bajo en comparación con las recomendaciones modernas y, en este sentido, simplifica los ataques de craqueo de hash de fuerza bruta. .
Vale la pena señalar que muchos algoritmos criptográficos tienen configuraciones para ejecutarse en varias rondas con el fin de aumentar la dificultad de la fuerza bruta y la recomendación cambiará con el tiempo a medida que la potencia informática aumente y esté más disponible.
Si bien descifrar con éxito un hash de contraseña depende de su complejidad y longitud, «un atacante bien financiado (entre 40.000 y 50.000 dólares) puede alcanzar fácilmente velocidades de fuerza bruta de millones de contraseñas por segundo», dijeron los investigadores de Eclypsium.
Los investigadores identificaron problemas adicionales
Si un atacante logra obtener acceso administrativo en el Administrador central, puede aprovechar otro problema de falsificación de solicitudes del lado del servidor (SSRF) encontrado por Eclypsium para llamar a los métodos API disponibles en los dispositivos BIG-IP Next administrados desde el Administrador central. Uno de estos métodos permite la creación de cuentas integradas en los dispositivos que normalmente no deberían existir y que no serían visibles desde el Administrador Central.