Kant's IT/Vulnerability
F5 BIG-IP 쿠키 악용을 통한 내부 네트워크 해킹 가능성 경고
Kant Jo
2024. 11. 18. 08:23
“해커들, F5 BIG-IP 쿠키 악용해 내부 네트워크 해킹 가능해” 주의 - 데일리시큐
“해커들, F5 BIG-IP 쿠키 악용해 내부 네트워크 해킹 가능해” 주의 - 데일리시큐
미국 사이버보안 및 인프라 보안국(CISA)이 해커들이 F5 BIG-IP의 로컬 트래픽 관리자(Local Traffic Manager, LTM) 모듈에서 생성된 암호화되지 않은 쿠키를 악용해 네트워크 내부의 장비를 탐색하고 있다
www.dailysecu.com
Best Practices to Configure BIG-IP LTM Systems to Encrypt HTTP Persistence Cookies
Best Practices to Configure BIG-IP LTM Systems to Encrypt HTTP Persistence Cookies | CISA
CISA has observed cyber threat actors leveraging unencrypted persistent cookies managed by the F5 BIG-IP Local Traffic Manager (LTM) module to enumerate other non-internet facing devices on the network. F5 BIG-IP is a suite of hardware and software solut
www.cisa.gov
- 배경
- F5 BIG-IP는 애플리케이션 배포와 트래픽 관리에 사용되는 솔루션으로, 특히 LTM(Local Traffic Manager) 모듈은 세션 유지 및 로드 밸런싱을 지원함
- LTM 모듈은 세션 일관성 유지를 위해 쿠키를 사용하는데, 이 쿠키가 기본적으로 암호화되지 않은 상태로 설정되어 있어 보안 취약점을 야기함
- CISA의 경고
- 미국 사이버보안 및 인프라 보안국(CISA)는 해커들이 F5 BIG-IP의 암호화되지 않은 쿠키를 활용해 내부 네트워크 장비를 탐지하고 있다고 발표
- 이러한 쿠키에는 내부 서버 IP 주소, 포트 번호, 로드 밸런싱 설정 등이 포함되어 있어 해커가 내부 자원을 식별하고 취약점을 악용할 수 있음
- F5의 대응 방안
- 11.5.0 버전부터 ‘Required’ 옵션을 통해 모든 쿠키에 AES-192 암호화를 적용할 수 있도록 설정 제공
- BIG-IP iHealth 도구를 사용하여 암호화 설정 오류 및 보안 설정을 점검할 수 있음
- 보안 권고 사항
- F5 BIG-IP 관리자는 반드시 쿠키 암호화 설정을 활성화하고, 특히 ‘Required’ 옵션을 통해 쿠키 암호화 적용 권장
- 네트워크 분할을 통해 민감 시스템을 보호하고 다중 인증(MFA) 및 정기적 패치를 통해 보안 강화 필요
- 암호화되지 않은 쿠키를 방치하면 해커가 내부 네트워크 정보를 쉽게 파악할 수 있어 조직 보안에 큰 위험을 초래