تشخیص دستگاههای BIG- IP که درآنها نقص لود بالانس وجود دارد، دشوار است وهمین موضوع میتواند زمینهی اتک هکران را فراهم کند. پس از کشف نقص کدنویسی درلودبالانس BIG-IP F5 Networks که میتواند به یک مهاجم امکان رهگیری و سرقت دادههای حساس را بدهد، از سازمانها خواسته شد که شبکههای خود را برای یافتن نشانههای اتک، اسکن کنند.تزریق محموله مرحلهای به موتور iRules F5 که نقص لودبالانس BIG-IP محسوب میشود، توسط بسیاری از سازمانهای بزرگ مانند بانکها و سازمانهای دولتی برای سادهسازی جریان ترافیک وب، استفاده میشود.
تشخیص این مسئله بسیار دشوار است، اما هکرها میتوانند دراغلب موارد، حمله را فقط با ارسال یک دستور یا یک قطعه کد به عنوان بخشی از درخواست وب، انجام دهند، سپس این فناوری اجرا میشود. در این مرحله، مهاجمان میتوانند با اتصال به سرویسهای مدیریت محلی یا اسکن شبکههای داخلی سازمان قربانی، کنترل کامل نمونه BIG-IP را بهدست آورند. طبق گفتهی شرکت امنیت سایبریF-Secure ، بیش از 300000 پیادهسازی فعال BIG-IP در اینترنت مشاهده شده است، اما تعداد واقعی احتمالاً بسیار بیشتر خواهد بود. کریستوفر جرکبی، مشاور ارشد امنیتیF-Secure ، که این نقص را کشف کرد، میگوید: “این آسیبپذیری به راحتی قابل استفاده است، اما تشخیص آن بسیار دشوار است.”
“به احتمال زیاد امروزه هکرهایی وجود دارند که از این آسیبپذیری سوء استفاده میکنند، اما قربانیان هرگزاین موضوع را نمیدانند. این حملات موفق فقط در حافظه دستگاه است و درخواستهای ورودی بهطور پیشفرض ثبت نمیشوند.” در واقع، در بسیاری از موارد، هیچ دلیلی مبنی بر اینکه ممکن است حملهای صورت گرفته باشد، وجود ندارد، زیرا دستگاههای آسیبدیده اقدامات را ثبت نمیکنند. در موارد دیگر، یک مهاجم میتواند اثرات مربوط به عملکرد خود را پس از نقص شبکه یک سازمان حذف کند. جرکبی به سایت خبری آیتیپرو گفت : مشاغل بزرگ برای آگاهشدن ازتأثیرنقص دستگاههای BIG-IP و یا اینکه آیا دستگاهها مورد حمله قرار گرفتهاند یا خیر، میتوانند از ابزارهای منبع باز و رایگانی که در دسترس هستند، استفاده کنند. ضمن آنکه ورود به سیستم SIEM باید با هشداروقوع خطا تنظیم شود،خطایی که در صورت آزمایش دستی تزریق، ممکن است رخ بدهد و موفق به تزریق صحیح نشود. عدم رسیدگی به نقص لودبالانس دستگاهها پیامد شدیدی دارد و میتواند به رهگیری و دستکاری مهاجم در ترافیک وب برای برداشتن اطلاعات حساس، اسرار برنامه و اعتبارسنجی منجرشود.
یک مهاجم همچنین ممکن است از این نقص به عنوان فرصتی برای هدف قراردادن و حمله به کاربران سرویسهای وب هر سازمانی استفاده کند. اگرچه همه کاربران BIG-IP تحت تأثیرپیامدهای نقص لودبالانس دستگاهها قرار نگرفتهاند، اما محبوبیت این دستگاهها در بین مؤسسات مالی و سازمانهای بخش عمومی، همراه با مبهم بودن مسئلهی نقص دستگاهها، به این معنی است که سازمانها باید عملکرد و واکنش خود نسبت به رفع این مشکل را بررسی و ارزیابی کنند. جرکبی ادامه داد: تا زمانی که سازمانها تحقیق عمیقی در مورد این فناوری انجام ندهند، احتمال این که باز هم با این مشکل مواجه بشوند، وجود دارد. حتی کارشناسانی که در مورد امنیت، آگاهی کافی دارند و در یک شرکت با منابع خوب به فعالیت مشغولند، ممکن است در تشخیص نقص دستگاه دچار اشتباه شوند. بنابراین، بهمنظور کمک به سازمانها در محافظت بهتر از سیستم شبکهی خود از یک سناریو نقص احتمالی دستگاهها، گسترش آگاهی بسیار حائز اهمیت است.
سخنگوی شبکههای F5 به IT Pro گفت: این نقص دردستگاههای BIG-IP و Tcl آسیب پذیری نیست، بلکه نتیجهی عدم پیروی از روشهای کدگذاری ایمن است. مانند اکثر زبانهای برنامه نویسی یا اسکریپتنویسی، نوشتن کد به نحوی که آسیبپذیریها را ایجاد میکند، امکانپذیر است. ما درزمینه اسناد و اطلاعرسانی تحقیق کردهایم تا اطمینان حاصل کنیم که مشتریان میتوانند میزان مواجههی خود با این مشکل را ارزیابی کنند و اقدامات لازم را برای کاهش آن انجام دهند. به مشتریان توصیه میشود که اسکریپت های Tcl را ارزیابی کنند و تحت این راهنمایی، همه تغییراتی که مناسب میدانند را انجام بدهند.”