安全研究人員報告稱,在軟件定義網絡(SDN)中使用的白盒交換機技術存在漏洞,攻擊者可以利用該漏洞嚴重破壞企業網絡。
在黑帽大會上,研究人員展示了攻擊交換機系統的惡意軟件,表明有些SDN技術包含嚴重的安全隱患,并且,技術提供商沒有妥善處理這些問題。
“這些供應商現在的主要重點是進入市場,”托管安全提供商Hellfire Security公司創始人兼網絡安全運營負責人Gregory Pickett表示,“他們以后才會考慮安全性。”
Pickett開發的惡意軟件可以利用三個開放網絡操作系統(NOS)中的任一個來入侵該交換機的開放網絡安裝環境(ONIE),ONIE是讓公司安裝自己選擇的Linux NOS的開源固件。在SDN架構中,交換機操作系統會從服務器運行的控制器來執行流量指示。
這些操作系統包括Big Switch Networks公司的Switch Light、Cumulus Networks公司的Cumulus Linux和Mellanox公司的MLNX-OS。
Pickett表示,攻擊交換機可以讓攻擊者通過該設備來監控流量。攻擊者還可以攻擊交換機或整個網絡。
攻擊交換機操作系統
為了讓Pickett的惡意軟件進入網絡,攻擊者會將其隱藏在電子郵件附件中。如果管理員打開該文件,惡意軟件就會通過其工作站的管理系統進入網絡。
在找到易受攻擊的交換機后,該惡意軟件會安裝輔助病毒,該病毒會感染ONIE固件。這段代碼將與攻擊者的命令控制服務器建立互聯網連接,然后,更高級的惡意軟件會被下載和安裝在該交換機中。
在7月31日,Cumulus Networks發布了該安全漏洞的補丁。Cumulus公司首席技術官Nolan Leake表示,Pickett利用的固件缺陷存在于所有交換機中,包括專有交換機以及使用ONIE的開放硬件。他表示:“這個漏洞并不是特定于軟件定義或開放網絡。”
Pickett表示,他發現ONIE和網絡操作系統普遍缺乏基本的安全功能來防止這樣的攻擊,例如它們缺少身份驗證、加密和控制來防止對硬件的未經授權訪問或者阻止惡意軟件獲得執行管理員任務的權限。
Pickett認為,SDN產品開發人員將這個問題留給了使用這些技術的公司,這些公司應該安裝入侵檢測系統、防火墻和其他安全設備來應對這種攻擊。
但在ONIE和NOS中構建更嚴格的安全性會讓這些技術更加難以使用。也就是說,潛在的客戶可能會被這些問題嚇退。
安全:事后再考慮
IDC公司分析師Rohit Mehra表示,開放SDN控制器和操作系統開發人員都將功能優先于安全性,因為前者可提高產品銷量。
Mehra稱:“驅動力一直是特性功能,以及提供真正的運營效益,顯然,安全是事后考慮事項。”
隨著SDN技術逐漸成熟以及部署在主流企業(例如制造商和大型零售商),安全性不足的潛在危害會增加。與現在的主流SDN用戶相比,這些行業通常沒有很先進的IT部門,包括電信公司、大型云服務提供商和華爾街金融機構。
Mehra稱:“開放網絡供應商將不得不加強安全性,以確保他們可以減少其平臺中的安全漏洞。”
Pickett發現,現在的開放NOS提供商就像是微軟在重視安全性之前的Windows,“微軟吸取了教訓,現在輪到他們了。”
京公網安備 11010502049343號