CISA Urges Encryption of Cookies in F5 BIG-IP Systems
CISA Urges Encryption of Cookies in F5 BIG-IP Systems
CISA urged organizations to tackle security risks from unencrypted cookies in F5 BIG-IP LTM systems
www.infosecurity-magazine.com
- 취약점 개요
- 취약점: F5 BIG-IP Local Traffic Manager(LTM) 시스템에서 암호화되지 않은 영구 쿠키 사용
- 위험 요소: 사이버 공격자가 암호화되지 않은 쿠키를 악용해 네트워크 내 비인터넷 장치에 접근하거나 추가 네트워크 자원을 탐색할 가능성
- F5 BIG-IP 시스템 개요
- BIG-IP: 네트워크 트래픽 관리 및 보안을 위한 하드웨어 및 소프트웨어 솔루션으로 널리 사용됨
- 위험 요소 및 공격 방법
- 정보 노출: 암호화되지 않은 쿠키를 통해 네트워크 자원에 대한 정보를 수집하고, 이를 바탕으로 취약점 악용 가능
- 악성 행위자: 공격자는 이러한 정보를 활용해 네트워크 맵핑 및 기타 장치 공격 시도 가능
- CISA의 보안 권고사항
- 쿠키 암호화 구성: BIG-IP LTM의 쿠키 지속성 프로파일을 통해 쿠키 암호화 설정
- HTTP 프로파일 사용: 서버에서 전송되는 쿠키에 대해 HTTP 프로파일을 통한 별도 암호화 적용
- 강력한 암호화 패스프레이즈 사용: 쿠키 암호화 설정 시 강력한 암호화 패스프레이즈 적용 권장
- BIG-IP 시스템 쿠키 암호화 설정
- 버전 11.5.0 이상: 쿠키 지속성 프로파일에서 직접 암호화 설정 가능
- 서버 쿠키 암호화: 서버 응답의 쿠키는 HTTP 프로파일을 통해 별도로 암호화 필요
- 추가 보안 조치
- BIG-IP iHealth: 시스템 구성을 모니터링하고 쿠키 암호화 상태를 점검하는 진단 도구
- 보안 최적화: iHealth를 통해 BIG-IP 장치의 보안 및 성능을 최적화 가능
'Kant's IT > Vulnerability' 카테고리의 다른 글
| GitHub Enterprise Server의 중요한 취약점 패치 (0) | 2024.11.23 |
|---|---|
| Juniper Networks, Junos OS 및 타사 구성 요소의 다수 취약점 패치 (0) | 2024.11.23 |
| pac4j Java 프레임워크의 원격 코드 실행(RCE) 취약점 (0) | 2024.11.23 |
| Linear eMerge E3 시스템 취약점 경고 (CVE-2024-9441) (0) | 2024.11.21 |
| OilRig의 Windows 커널 취약점 악용 사례: UAE 및 걸프 지역 대상 스파이 활동 (2) | 2024.11.19 |