安全研究人員報告稱,在軟件定義網(wǎng)絡(luò)(SDN)中使用的白盒交換機(jī)技術(shù)存在漏洞,攻擊者可以利用該漏洞嚴(yán)重破壞企業(yè)網(wǎng)絡(luò)。
在黑帽大會上,研究人員展示了攻擊交換機(jī)系統(tǒng)的惡意軟件,表明有些SDN技術(shù)包含嚴(yán)重的安全隱患,并且,技術(shù)提供商沒有妥善處理這些問題。
“這些供應(yīng)商現(xiàn)在的主要重點是進(jìn)入市場,”托管安全提供商Hellfire Security公司創(chuàng)始人兼網(wǎng)絡(luò)安全運營負(fù)責(zé)人Gregory Pickett表示,“他們以后才會考慮安全性。”
Pickett開發(fā)的惡意軟件可以利用三個開放網(wǎng)絡(luò)操作系統(tǒng)(NOS)中的任一個來入侵該交換機(jī)的開放網(wǎng)絡(luò)安裝環(huán)境(ONIE),ONIE是讓公司安裝自己選擇的Linux NOS的開源固件。在SDN架構(gòu)中,交換機(jī)操作系統(tǒng)會從服務(wù)器運行的控制器來執(zhí)行流量指示。
這些操作系統(tǒng)包括Big Switch Networks公司的Switch Light、Cumulus Networks公司的Cumulus Linux和Mellanox公司的MLNX-OS。
Pickett表示,攻擊交換機(jī)可以讓攻擊者通過該設(shè)備來監(jiān)控流量。攻擊者還可以攻擊交換機(jī)或整個網(wǎng)絡(luò)。
攻擊交換機(jī)操作系統(tǒng)
為了讓Pickett的惡意軟件進(jìn)入網(wǎng)絡(luò),攻擊者會將其隱藏在電子郵件附件中。如果管理員打開該文件,惡意軟件就會通過其工作站的管理系統(tǒng)進(jìn)入網(wǎng)絡(luò)。
在找到易受攻擊的交換機(jī)后,該惡意軟件會安裝輔助病毒,該病毒會感染ONIE固件。這段代碼將與攻擊者的命令控制服務(wù)器建立互聯(lián)網(wǎng)連接,然后,更高級的惡意軟件會被下載和安裝在該交換機(jī)中。
在7月31日,Cumulus Networks發(fā)布了該安全漏洞的補(bǔ)丁。Cumulus公司首席技術(shù)官Nolan Leake表示,Pickett利用的固件缺陷存在于所有交換機(jī)中,包括專有交換機(jī)以及使用ONIE的開放硬件。他表示:“這個漏洞并不是特定于軟件定義或開放網(wǎng)絡(luò)。”
Pickett表示,他發(fā)現(xiàn)ONIE和網(wǎng)絡(luò)操作系統(tǒng)普遍缺乏基本的安全功能來防止這樣的攻擊,例如它們?nèi)鄙偕矸蒡炞C、加密和控制來防止對硬件的未經(jīng)授權(quán)訪問或者阻止惡意軟件獲得執(zhí)行管理員任務(wù)的權(quán)限。
Pickett認(rèn)為,SDN產(chǎn)品開發(fā)人員將這個問題留給了使用這些技術(shù)的公司,這些公司應(yīng)該安裝入侵檢測系統(tǒng)、防火墻和其他安全設(shè)備來應(yīng)對這種攻擊。
但在ONIE和NOS中構(gòu)建更嚴(yán)格的安全性會讓這些技術(shù)更加難以使用。也就是說,潛在的客戶可能會被這些問題嚇退。
安全:事后再考慮
IDC公司分析師Rohit Mehra表示,開放SDN控制器和操作系統(tǒng)開發(fā)人員都將功能優(yōu)先于安全性,因為前者可提高產(chǎn)品銷量。
Mehra稱:“驅(qū)動力一直是特性功能,以及提供真正的運營效益,顯然,安全是事后考慮事項。”
隨著SDN技術(shù)逐漸成熟以及部署在主流企業(yè)(例如制造商和大型零售商),安全性不足的潛在危害會增加。與現(xiàn)在的主流SDN用戶相比,這些行業(yè)通常沒有很先進(jìn)的IT部門,包括電信公司、大型云服務(wù)提供商和華爾街金融機(jī)構(gòu)。
Mehra稱:“開放網(wǎng)絡(luò)供應(yīng)商將不得不加強(qiáng)安全性,以確保他們可以減少其平臺中的安全漏洞。”
Pickett發(fā)現(xiàn),現(xiàn)在的開放NOS提供商就像是微軟在重視安全性之前的Windows,“微軟吸取了教訓(xùn),現(xiàn)在輪到他們了。”