安全研究人員報告稱,在軟體定義網絡(sdn)中使用的白盒交換機技術存在漏洞,攻擊者可以利用該漏洞嚴重破壞企業網絡。
在黑帽大會上,研究人員展示了攻擊交換機系統的惡意軟體,表明有些sdn技術包含嚴重的安全隐患,并且,技術提供商沒有妥善處理這些問題。
“這些供應商現在的主要重點是進入市場,”托管安全提供商hellfire security公司創始人兼網絡安全營運負責人gregory pickett表示,“他們以後才會考慮安全性。”
pickett開發的惡意軟體可以利用三個開放網絡作業系統(nos)中的任一個來入侵該交換機的開放網絡安裝環境(onie),onie是讓公司安裝自己選擇的linux nos的開源固件。在sdn架構中,交換機作業系統會從伺服器運作的控制器來執行流量訓示。
這些作業系統包括big switch networks公司的switch light、cumulus networks公司的cumulus linux和mellanox公司的mlnx-os。
pickett表示,攻擊交換機可以讓攻擊者通過該裝置來監控流量。攻擊者還可以攻擊交換機或整個網絡。
攻擊交換機作業系統
為了讓pickett的惡意軟體進入網絡,攻擊者會将其隐藏在電子郵件附件中。如果管理者打開該檔案,惡意軟體就會通過其工作站的管理系統進入網絡。
在找到易受攻擊的交換機後,該惡意軟體會安裝輔助病毒,該病毒會感染onie固件。這段代碼将與攻擊者的指令控制伺服器建立網際網路連接配接,然後,更進階的惡意軟體會被下載下傳和安裝在該交換機中。
在7月31日,cumulus networks釋出了該安全漏洞的更新檔。cumulus公司首席技術官nolan leake表示,pickett利用的固件缺陷存在于所有交換機中,包括專有交換機以及使用onie的開放硬體。他表示:“這個漏洞并不是特定于軟體定義或開放網絡。”
pickett表示,他發現onie和網絡作業系統普遍缺乏基本的安全功能來防止這樣的攻擊,例如它們缺少身份驗證、加密和控制來防止對硬體的未經授權通路或者阻止惡意軟體獲得執行管理者任務的權限。
pickett認為,sdn産品開發人員将這個問題留給了使用這些技術的公司,這些公司應該安裝入侵檢測系統、防火牆和其他安全裝置來應對這種攻擊。
但在onie和nos中建構更嚴格的安全性會讓這些技術更加難以使用。也就是說,潛在的客戶可能會被這些問題吓退。
安全:事後再考慮
idc公司分析師rohit mehra表示,開放sdn控制器和作業系統開發人員都将功能優先于安全性,因為前者可提高産品銷量。
mehra稱:“驅動力一直是特性功能,以及提供真正的營運效益,顯然,安全是事後考慮事項。”
随着sdn技術逐漸成熟以及部署在主流企業(例如制造商和大型零售商),安全性不足的潛在危害會增加。與現在的主流sdn使用者相比,這些行業通常沒有很先進的it部門,包括電信公司、大型雲服務提供商和華爾街金融機構。
mehra稱:“開放網絡供應商将不得不加強安全性,以確定他們可以減少其平台中的安全漏洞。”
pickett發現,現在的開放nos提供商就像是微軟在重視安全性之前的windows,“微軟吸取了教訓,現在輪到他們了。”
作者:antone gonsalves
來源:51cto