I dag går amerikanske F5 Networks ut med informasjon om en fersk sårbarhet i selskapets produktserie Big-IP.
Dette er dedikert utstyr med brannmur, lastbalanserer og annen funksjonalitet som beskytter infrastruktur, nettjenester, mobiltrafikk og svært mye annet.
En programvarefeil (CVE-2016-9244) døpt «Ticketbleed» åpner for minnelekkasje av inntil 31 bytes eller tegn fra TLS-stakken i enkelte modeller.
Selskapet oppgir at alvorlighetsgraden er høy, altså ikke kritisk. Det er bare virtuelle servere konfigurert med Client SSL-profil og dessuten opsjonen «session tickets» som er berørt.
Kryptoekspert Filippo Valsorda fra Cloudflare får skryt av F5 Network for å ha oppdaget sårbarheten, og ikke minst for å ha fulgt prinsippene for ansvarlig offentliggjøring. Det betyr at han har ventet med å røpe hullet i samråd med leverandøren. I praksis slik at rekker å lage feilfiks og informere kundene.
Her gir han en lengre teknisk redegjørelse for sårbarheten.
– Enkelt å utnytte, men minimal risiko
I en begrenset analyse av verdens 1 000 største nettsteder fant han at mellom 0,1 og 0,2 prosent er berørt av den obskure feilen. Interesserte kan sjekke selv på en tjeneste han har laget for dette.
– Jeg velger å se på dette som en akademisk interessant sårbarhet. Den er enkel å utnytte når man først ser forklaringen. Den reelle risikoen for datalekkasje er likevel minimal, sier sikkerhetsekspert Per Thorsheim til digi.no.
De 31 tegn (bytes) man får i retur kan ifølge ham inneholde hva som helst fra minnet på boksen. Et navn, personnummer, passord kan i teorien lekke ut, men som Thorsheim påpeker:
– Det skal en solid porsjon flaks til for at det skal gi mening og inneholde sensitive data som kan misbrukes.
Han mener derfor at den største risikoen forbundet med Ticketbleed, i hvert fall basert på det som så langt er kjent om sårbarheten, er knyttet til omdømme. Da i form av potensielt negativ omtale for virksomheter som ikke får på plass feilfiks innen fornuftig tid.
F5 Networks har publisert en enkel beskrivelse for hvordan oppdatere, inkludert en liste over berørte modeller.