软件定义交换机为网络运营商作出了一系列承诺,然而来自黑帽大会的最近研究结果表明,其安全措施仍然没能完全跟上发展节奏。
总部位于芝加哥的安全企业Hellfire Security公司创始人Gregory Pickett已经利用Onie(即开放网络安装环境)开发出多种针对网络交换机的攻击手段。
Onie是一款基于Linux的小型操作系统,能够运行在裸机交换机之上。用户可以在Onie基础之上再安装一款网络操作系统,并通过设计使其能够轻松便捷地切换至另一种完全不同的操作系统。
Onie的主要竞争对手为OpenDaylight,作为软件定义网络项目、其设计目标在于利用交换机配置帮助网络运营商取得更为理想的灵活性水平,同时保证其不会被锁定在单一供应商身上。
Pickett的研究工作专注于运行在Onie之上的三款网络操作系统:Switch Light、Cumulus Linux以及Mellanox OS。他发现这三款系统当中都存在有一系列问题,会在特定情况下允许他在Onie的固件当中安装一款持久性恶意软件。
这样的状况显然非常非常令人忧心,因为驻留在交换机当中的恶意软件能够窥探到流经该交换机的全部流量,从而进行大规模间谍活动。Pickett同时表示,这甚至有可能导致交换机整体“变砖”,进而造成网络瘫痪。
他的这款恶意软件名为“Big Brother”,要让其发挥作用,只需要将其安装在目标企业网络之内的某台用户设备当中。在此基础之上,它能够识别出交换机并在其中安装一款隐秘的第二阶段恶意软件,并将数据推送至一台命令与控制服务器。他同时指出,攻击者有可能开发出一款蠕虫病毒,从而感染给定网络当中的全部交换机。
Pickett进一步强调称,SDN当前所面临的主要问题在于,作为一个相对年轻的技术领域,安全水平及保障措施还没有完全跟上。各类网络操作系统以及Onie往往缺乏验证、加密、访问控制以及权限分配等保护手段。
如果Onie当中存在安全漏洞,那就意味着需要由网络操作系统对其进行保护。然而如果攻击者有能力绕过该操作系统,那么Onie将彻底沦为待宰的羔羊。
“如果大家能够绕过系统本身,就可以直接面对核心固件,”Pickett如是说。
Pickett同时指出,SDN目前面临的似乎又是那个鸡和蛋的老问题:那些负责处理恶意活动的工作人员,仿佛压根不关心SDN平台抑或是网络运营方面。
“让我感到好奇的是,如果他们始终将安全保障的希望寄托在对方身上,”他说,“那结果实在太糟糕了。他们之所以存在自己还很安全的幻觉,就是因为这些Linux交换机的存在外加防火墙防御机制。”
Pickett已经向Switch Light、Cumulus Linux、Mellanox OS以及Onie发出了问题通知,希望各方能够快速修复他所发现的这项安全漏洞。他还发现了一项零日安全漏洞,不过并不打算在黑帽以及Def Con大会上公布,而是直接发布他开发出的恶意软件处理代码。
他同时还将整理出一份SDN平台待改进项目清单以及网络操作系统补救措施汇总。Pickett亦会在本周四的黑帽大会以及本周六的Def Con大会上作出主题演讲。
