Оффлайн
Apollon
Заблокирован
- Регистрация
- 07.09.17
- Сообщения
- 5.309
- Реакции
- 1.010
- Репутация
- 1.625
You must be registered for see images attach
На минувшей неделе группа исследователей кибербезопасностиобнаружилаопасную уязвимость в протоколе OpenFlow, позволяющую злоумышленнику перехватить коммуникации между затронутыми SDN -контроллерами при условии, что заранее скомпрометированное устройство будет внедрено в сеть. Как сообщает издание The Register, ответственная за поддержку протокола организация Open Networking Foundation (ONF) не будет вносить изменения в OpenFlow, ограничившись рядом рекомендаций, позволяющих снизить риск эксплуатации.
По словам представителей ONF, данная уязвимость представляет угрозу для сетей в следующих случаях: злоумышленник обращается к порту управления устройства и может проэксплуатировать уязвимость в коммутаторе для получения доступа к его сертификату; уязвимость существует на передающем уровне коммутатора, также позволяя получить доступ к сертификату; злоумышленник может «сгенерировать или приобрести сертификат, которому доверяет контроллер». Все сценарии предполагают защиту соединения переключателя-контроллера сертификатами TLS/SSL, которая является рекомендуемой в данном оборудовании.
«В спецификации явно не указано, что контроллеры должны сравнивать Datapath ID (DPID) с сертификатом клиента для определенного коммутатора при установлении соединения; данное решение остается за разработчиками контроллеров […]К сожалению, многие контроллеры с открытым исходным кодом не выполняют проверку при установлении защищенных соединений с помощью переключателей OpenFlow, и это является основной причиной существования данной уязвимости», - отметили представители ONF.
Исправления для собственной реализации ONF - ONOS (the Open Network Operating System) - будут включены в версию 1.13.2. В остальных случаях представители ONF порекомендовали разработчикам контроллеров самостоятельно обновлять свои устройства, следуя опубликованным рекомендациям.