Ticketbleed

F5 Networks BIG-IP appliances firması ciddi bir güvenlik açığıyla karşı karşıya. Bu güvenlik açığı sayesinde herhangi bir saldırgan uzakta bile olsa ram’den bilgi çalabiliyor.

‘Ticketbleed’ olarak adlandırılan ve CVE-2016-9244 kodu verilen bu güvenlik açığı CloudFlare firmasının kriptoloji mühendisi Filippo Valsorda ve içerik dağıtım ağında çalışan diğer çalışanlar tarafından keşfedildi. CloudFlare müşterilerinden birinin hata raporu araştırılırken tespit edilen bu güvenlik açığı Ekim ayının sonlarında F5’e bildirildi.

ticketbleed

F5’in açıklamasına göre bu güvenlik açığı varsayılan olmayan oturum biletlerinin etkin olduğu BIG-IP SSL sanal sunucuları etkiliyor. Sızdırılan bilgiler oturum kimlikleri ve diğer potansiyel hassas verileri içerebilir.

İsminden de anlaşılacağı üzere Ticketbleed, Heartbleed olarak bilinen OpenSSL güvenlik açığıyla benzerlik taşıyor. Fakat Heartbleed’in aksine Ticketbleed sadece F5 ürünlerini hedef alıyor.

Etkilenen F5 ürünlerinin listesinde LTM, AAM, AFM, Analytics, APM, ASM, GTM, Link Controller, PEM ve PSM gibi ürünler bulunuyor. Güvenlik açığını kapatmak için yayınlanan güncellemeler bu ürünlerin çoğunda yapıldı. Geçici çözüm isteyen kullanıcılar ise Yerel Trafik – Profiller – SSL – İstemci menüsünden oturum biletlerini devre dışı bırakabilirler.

Valsorda kullanıcıların bu saldırıya karşı savunmasız olup olmadıklarını tespit etmesini sağlayan basit bir çevrimiçi araç yaptı. Araştırmacılar tarafından yapılan taramalar sonucu Alexa’nın top bir milyon web sitesi listesinden 949 web sitesinin bu saldırıya karşı savunmasız olduğu tespit edildi.