Server-racket som kjører hele Altinn har også en BIG-IP 3600-boks. Dette er en av de mange modellene som ifølge F5 er berørt av sårbarheten. Her fra Basefarm sitt datasenter i Oslo. (Bilde: Marius Jørgenrud)

Ga bort nøkkelen til serverparken

- Den perfekte angrepsvektor.

Mange av verdens mest kritiske nettjenester er beskyttet av produkter fra det amerikanske milliardselskapet F5 Networks.

Det inkluderer alt-i-ett bokser som «Big-IP» med et bredt spekter av funksjonalitet, deriblant brannmur, lastbalansering, caching, komprimering og DDoS-beskyttelse.

En svært alvorlig sårbarhet som berører store deler av produktporteføljen ble offentliggjort i forrige uke.

F5 Networks har rett og slett tabbet seg ut. Alle de berørte produktene skal ha vært levert med en konfigurasjon som godtar administrativ innlogging via SSH over port 22.

Men det blir verre.

Autentiseringen styres med en offentlig RSA-nøkkel for root-tilgang. Den korresponderende private nøkkelen skal ha vært lik på alle systemene, der den lå lett tilgjengelig.

Dermed har privatnøkkelen lett kunne spre seg over det store internettet. Sårbarheten blir allerede utnyttet i kjente crackerverktøy som Metasploit.

Konsekvensen er at en angriper enkelt kan sikre seg full kontroll over enheter som ikke er patchet, konfiguert om eller der datasentralen er sikret på annet vis.

Brukes av Altinn

F5 sine produkter er kostbare og benyttes typisk av kunder med trafikkintensive nettjenester. Big-IP 3600 som er plassert i laget mellom Altinns bakenforliggende servere og brukerne har en listepris på 30.000 dollar. I tillegg selges det programvaremoduler som også koster flesk.

Basefarm som er blant Norges største driftleverandører, er storforbrukere av F5-bokser, inkludert de berørte modellene.

digi.no fikk nylig en omvisning i selskapets datasentral i Oslo. Der lyste den gjenkjennelige røde F5-logoen fra enheter i serverrack på rekke og rad. Også i skapet som huser hele Altinn-plattformen.

Datasentralene til Basefarm er satt opp slik at sårbarheten i F5-produktene ikke rammer dem, sier direktør Bjart Kvarme.
Datasentralene til Basefarm er satt opp slik at sårbarheten i F5-produktene ikke rammer dem, sier direktør Bjart Kvarme. Bilde: Marius Jørgenrud

- Vi er ikke rammet

- F5 ga oss beskjed om sårbarheten i forrige uke. Etter å ha gått en runde på våre systemer kan vi si at slik vi er satt opp rammer ikke dette oss, sier direktør Bjart Kvarme i Basefarm til digi.no.

- Perfekt til sniffing

- Vi bruker ikke disse boksene selv, og jeg kan derfor ikke bekrefte at det stemmer. Men ut fra beskrivelsene høres dette ut som en ekstremt alvorlig feil, sier systemansvarlig Ola Thoresen fra nettleverandøren Powertech til digi.no.

Et sikkerhetsselskap oppdaget sårbarheten i februar. F5 brukte deretter drøyt tre måneder på å produsere en feilfiks, før offentliggjøringen kom i forrige uke.

- Den viktigste sikkerhetsrisikoen her er at Big-IP er den perfekte «man in the middle»-angrepsvektor. Du kan sitte å sniffe datatrafikk, redigere forespørsler og lignende etter eget forgodtbefinnende, sier Thoresen.

- Potensielt kritisk, helt klart

F5 Networks i Norge forteller at de aldri før har reagert så proaktivt for å håndtere en kritisk situasjon.

- Det har ikke vært en sårbarhet som har blitt behandlet så alvorlig internt før. Vi kontaktet kundene direkte i forkant av offentliggjøringen, sier daglig leder Jon Bjørnland i selskapets norske avdeling til digi.no.

- Dette var absolutt alvorlig og potensielt kritisk. Helt klart, sier Bjørnland.

Foruten automatiske advarsler sendt på epostlister, kontaktet de sine norske kunder både på telefon og mail direkte.

- Det ble ikke oppfattet som dramatisk hos kundene, hevder norgessjefen.

Det begrunner han med at de aller fleste har sikret sine driftssystemer i forkant, hvor tilgang til F5-produktene først krever tilgang gjennom andre interne administrasjonssystemer.

Dette bekreftes av IT-sikkerhetsselskapet Watchcom, som også er forhandler av det samme utstyret.

- Våre kunder er allerede informert. De fleste av disse har også tatt aksjon for å eliminere problemet. I utgangspunktet er dette en intern trussel, siden det handler om tilgang til administrasjonsgrensesnitt, sier teknisk sjef i Watchcom, Arnfinn Roland.

80 prosents markedsandel

F5s produkter er svært utbredt i Norge. Ifølge Bjørnland har de 80 prosents markedsandel i sin nisje her til lands.

- Veldig mange av de store norske internettjenestene ligger bak Big-IP. Ikke bare nettjenester men også IP-telefoni, MMS-tjenester og mobiltrafikk. Alle de store mobiloperatørene i verden bruker våre produkter, sier Jon Bjørnland til digi.no.

Big-IP gjorde «Kenneth (36)» til kjendis

F5 og deres Big-IP har også tidligere havnet i et negativt søkelys. Det var en feil i dette produktet som forårsaket årets Altinn-skandale, der en persons sensitive opplysninger ble blottlagt da selvangivelsen ble lagt frem.

    Les også:

Til toppen