安全研究人員報告稱，在軟件定義網(wǎng)絡(luò)(SDN)中使用的白盒交換機技術(shù)存在漏洞，攻擊者可以利用該漏洞嚴(yán)重破壞企業(yè)網(wǎng)絡(luò)。

[[145141]]

在黑帽大會上，研究人員展示了攻擊交換機系統(tǒng)的惡意軟件，表明有些SDN技術(shù)包含嚴(yán)重的安全隱患，并且，技術(shù)提供商沒有妥善處理這些問題。

“這些供應(yīng)商現(xiàn)在的主要重點是進入市場，”托管安全提供商Hellfire Security公司創(chuàng)始人兼網(wǎng)絡(luò)安全運營負責(zé)人Gregory Pickett表示，“他們以后才會考慮安全性。”

Pickett開發(fā)的惡意軟件可以利用三個開放網(wǎng)絡(luò)操作系統(tǒng)(NOS)中的任一個來入侵該交換機的開放網(wǎng)絡(luò)安裝環(huán)境(ONIE)，ONIE是讓公司安裝自己選擇的Linux NOS的開源固件。在SDN架構(gòu)中，交換機操作系統(tǒng)會從服務(wù)器運行的控制器來執(zhí)行流量指示。

這些操作系統(tǒng)包括Big Switch Networks公司的Switch Light、Cumulus Networks公司的Cumulus Linux和Mellanox公司的MLNX-OS。

Pickett表示，攻擊交換機可以讓攻擊者通過該設(shè)備來監(jiān)控流量。攻擊者還可以攻擊交換機或整個網(wǎng)絡(luò)。

攻擊交換機操作系統(tǒng)

為了讓Pickett的惡意軟件進入網(wǎng)絡(luò)，攻擊者會將其隱藏在電子郵件附件中。如果管理員打開該文件，惡意軟件就會通過其工作站的管理系統(tǒng)進入網(wǎng)絡(luò)。

在找到易受攻擊的交換機后，該惡意軟件會安裝輔助病毒，該病毒會感染ONIE固件。這段代碼將與攻擊者的命令控制服務(wù)器建立互聯(lián)網(wǎng)連接，然后，更高級的惡意軟件會被下載和安裝在該交換機中。

在7月31日，Cumulus Networks發(fā)布了該安全漏洞的補丁。Cumulus公司首席技術(shù)官Nolan Leake表示，Pickett利用的固件缺陷存在于所有交換機中，包括專有交換機以及使用ONIE的開放硬件。他表示：“這個漏洞并不是特定于軟件定義或開放網(wǎng)絡(luò)。”

Pickett表示，他發(fā)現(xiàn)ONIE和網(wǎng)絡(luò)操作系統(tǒng)普遍缺乏基本的安全功能來防止這樣的攻擊，例如它們?nèi)鄙偕矸蒡炞C、加密和控制來防止對硬件的未經(jīng)授權(quán)訪問或者阻止惡意軟件獲得執(zhí)行管理員任務(wù)的權(quán)限。

Pickett認為，SDN產(chǎn)品開發(fā)人員將這個問題留給了使用這些技術(shù)的公司，這些公司應(yīng)該安裝入侵檢測系統(tǒng)、防火墻和其他安全設(shè)備來應(yīng)對這種攻擊。

但在ONIE和NOS中構(gòu)建更嚴(yán)格的安全性會讓這些技術(shù)更加難以使用。也就是說，潛在的客戶可能會被這些問題嚇退。

安全：事后再考慮

IDC公司分析師Rohit Mehra表示，開放SDN控制器和操作系統(tǒng)開發(fā)人員都將功能優(yōu)先于安全性，因為前者可提高產(chǎn)品銷量。

Mehra稱：“驅(qū)動力一直是特性功能，以及提供真正的運營效益，顯然，安全是事后考慮事項。”

隨著SDN技術(shù)逐漸成熟以及部署在主流企業(yè)(例如制造商和大型零售商)，安全性不足的潛在危害會增加。與現(xiàn)在的主流SDN用戶相比，這些行業(yè)通常沒有很先進的IT部門，包括電信公司、大型云服務(wù)提供商和華爾街金融機構(gòu)。

Mehra稱：“開放網(wǎng)絡(luò)供應(yīng)商將不得不加強安全性，以確保他們可以減少其平臺中的安全漏洞。”

Pickett發(fā)現(xiàn)，現(xiàn)在的開放NOS提供商就像是微軟在重視安全性之前的Windows，“微軟吸取了教訓(xùn)，現(xiàn)在輪到他們了。”