F5 mempublikasikan imbauan keamanan mengenai kerentanan otentikasi pada BIG-IP Access Policy Manager Active Directory yang merujuk pada CVE-2021-23008. Kerentanan bypass pada fitur keamanan Key Distribution Center (KDC) berdampak pada layanan pengiriman pada aplikasi F5 BIG-IP. (sumber gambar ilustrasi: https://threatpost.com/f5-big-ip-security-bypass/165735/)
Kerentanan spoofing pada KDC memungkinkan penyerang untuk melakukan bypass otentikasi Kerberos ke BIG-IP Access Policy Manager. Kerentanan tersebut termasuk dalam tingkat severity High. Ketidakamanan Kerberos memungkinkan dilakukannya hijacking ke dalam jaringan antara BIG-IP dan domain controller.
Produk yang terdampak kerentanan tersebut diantaranya: BIG-IP APM; BIG-IP (LTM, AAM, AFM, Analytic, ASM, DNS, FPS, GTM, Link Controller, PEM); BIG-IQ Centralized Management; dan Traffix SDC.
Beberapa langkah yang dapat dilakukan untuk meminimalisir risiko eksploitasi kerentanan tersebut diantaranya:
- Menerapkan konfigurasi multi-factor authentication atau host-level authentication seperti IPSec tunnel antara sistem BIG-IP APM yang terdampak dengan server active directory. Lakukan monitoring pada Kerberos secara terus menerus untuk menemukan anomali dalam bentuk pengiriman request AS_REQ tanpa TGS _REQ berulang kali.
- Tambahkan APM Access policy dengan otentikasi active directory dan single sign on agar kredensial palsu yang digunakan gagal.
- Gunakan remote otentikasi dari User Directory jika otentikasi menggunakan sistem active directory
- Tambahkan proses validasi pada implementasi Kerberos dengan fitur password/keytab.
Informasi lengkap mengenai berbagai kerentanan tersebut di atas dapat diunduh melalui tombol unduhan di bawah ini.
KERENTANAN OTENTIKASI PADA BIG-IP
Biro Hukum dan Hubungan Masyarakat – BSSN
