Vulnérabilité d'usurpation d'identité Kerberos KDC

Des chercheurs en cybersécurité ont révélé mercredi une nouvelle vulnérabilité de contournement dans la fonction de sécurité Kerberos Key Distribution Center (KDC) affectant les services de livraison d’applications F5 Big-IP.

«La vulnérabilité KDC Spoofing permet à un attaquant de contourner l’authentification Kerberos vers Big-IP Access Policy Manager (APM), de contourner les politiques de sécurité et d’accéder sans entrave aux charges de travail sensibles», ont déclaré les chercheurs de Silverfort Yaron Kassner et Rotem Zach dans un rapport. “Dans certains cas, cela peut également être utilisé pour contourner l’authentification à la console d’administration Big-IP.”

Coïncidant avec la divulgation publique, F5 a publié un correctif pour remédier à la faiblesse.

auditeur de mot de passe

Kerberos est un protocole d’authentification qui repose sur un modèle client-serveur pour l’authentification mutuelle et nécessite un intermédiaire de confiance appelé Key Distribution Center (KDC) – un serveur d’authentification Kerberos (AS) ou un serveur d’octroi de tickets dans ce cas – qui agit comme un référentiel des clés secrètes partagées de tous les utilisateurs ainsi que des informations sur les utilisateurs qui ont des privilèges d’accès à quels services sur quels serveurs de réseau.

Ainsi, lorsqu’un utilisateur, disons Alice, veut accéder à un service particulier sur un serveur (Bob), Alice est invitée à fournir son nom d’utilisateur et son mot de passe pour vérifier son identité, après quoi l’AS vérifie si Alice a des privilèges d’accès à Bob, et si ainsi, émettez un “ticket” permettant à l’utilisateur d’utiliser le service jusqu’à son heure d’expiration.

L’authentification du KDC auprès du serveur est également essentielle dans le cadre du processus, en l’absence de quoi la sécurité du Kerberos est compromise, permettant ainsi à un attaquant qui a la capacité de détourner la communication réseau entre Big-IP et le contrôleur de domaine. (qui est le KDC) pour contourner complètement l’authentification.

et le contrôleur de domaine (qui est le KDC) pour contourner complètement l’authentification.

auditeur de mot de passe

En un mot, l’idée est que lorsque le protocole Kerberos est mis en œuvre de la bonne manière, un adversaire qui tente d’emprunter l’identité du KDC ne peut pas contourner les protections d’authentification. L’attaque d’usurpation d’identité repose donc sur la possibilité qu’il existe des configurations Kerberos non sécurisées afin de détourner la communication entre le client et le contrôleur de domaine, en tirant parti de celle-ci pour créer un KDC frauduleux qui détourne le trafic destiné au contrôleur vers le faux KDC, et ensuite s’authentifier auprès du client.

Il s’agit de la quatrième faille d’usurpation d’identité découverte par Silverfort après avoir découvert des problèmes similaires dans Cisco ASA (CVE-2020-3125), PAN-OS de Palo Alto Networks (CVE-2020-2002) et IBM QRadar (CVE-2019-4545) l’année dernière.



Leave a Reply