近日，國家信息安全漏洞共享平臺（CNVD）收錄了F5 BIG-IP設(shè)備TLS/SSL堆棧溢出漏洞“又稱TicketBleed漏洞”（CNVD-2017-01171，CVE-2016-9244）。該漏洞原理類似于OpenSSL“心臟滴血”漏洞，遠程攻擊者利用該漏洞持續(xù)獲取服務(wù)器端的內(nèi)存數(shù)據(jù)。由于BIG-IP設(shè)備多用于互聯(lián)網(wǎng)出入口流量管理和負載優(yōu)化，有可能導(dǎo)致用戶敏感信息（如：業(yè)務(wù)數(shù)據(jù)）泄露。不過根據(jù)當前測試結(jié)果，受影響范圍還較為有限。

一、漏洞情況分析

F5 BIG-IP 鏈路控制器可以無縫地監(jiān)控多條 WAN ISP 連接的可用性與性能，主要用于互聯(lián)網(wǎng)出入口流量管理和負載優(yōu)化。Session Tickets是加速重復(fù)連接的一項恢復(fù)技術(shù)。

BIG-IP虛擬服務(wù)器配置客戶端SSL配置文件啟用了非默認Session Tickets選項,當客戶端提供SessionID和Session Tickets時， Session ID的長度可以在1到31個字節(jié)之間，而F5堆棧總是回顯32字節(jié)的內(nèi)存。攻擊者利用該漏洞提供1字節(jié)Session ID可收到31字節(jié)的未初始化內(nèi)存信息，從而獲取其他會話安全套接字層(SSL)SessionID。該漏洞原理類似于OpenSSL“心臟滴血”漏洞，但通過漏洞一次只能獲取31個字節(jié)數(shù)據(jù)，而不是64k，需要多次輪詢執(zhí)行攻擊，并且僅影響專有的F5 TLS堆棧。

CNVD對該漏洞的綜合評級為“高危”。目前，相關(guān)利用方式已經(jīng)在互聯(lián)網(wǎng)上公開，近期出現(xiàn)大量攻擊嘗試的可能。

二、漏洞影響范圍

受此漏洞影響的設(shè)備類型和版本，以及受該漏洞影響的組件和功能的詳細信息請參閱下表。根據(jù)CNVD秘書處普查情況，相關(guān)F5 BIG-IP設(shè)備共有70028臺暴露在互聯(lián)網(wǎng)上，而在中國境內(nèi)有2213臺BIG-IP設(shè)備（占全球比例3.16%），但測試未發(fā)現(xiàn)受到漏洞實際影響。根據(jù)漏洞研究者的抽查比例，互聯(lián)網(wǎng)上443端口受該漏洞影響的443端口TLS服務(wù)比例約為0.2%。

三、漏洞修復(fù)建議

受影響的產(chǎn)品在本次公開披露時并非所有版本都可以通過升級解決。F5官方提供的臨時解決方案如下：

1. 登錄到配置實用程序

2. 在菜單上導(dǎo)航到本地流量>配置文件> SSL>客戶端

3. 將配置的選項從基本切換到高級

4. 取消選中Session Ticket選項以禁用該功能

5. 單擊更新以保存更改