Контакты
РџРѕРґРїРёСЃРєР°
МЕНЮ
Контакты
РџРѕРґРїРёСЃРєР°

Разработчики OpenFlow не будут вносить изменения в протокол ради исправления уязвимости

Разработчики OpenFlow не будут вносить изменения в протокол ради исправления уязвимости

Разработчики OpenFlow не будут вносить изменения в протокол ради исправления уязвимости


15.05.2018

Разработчики OpenFlow не будут вносить изменения в протокол ради исправления уязвимости

На минувшей неделе группа исследователей кибербезопасности обнаружила опасную уязвимость в протоколе OpenFlow, позволяющую злоумышленнику перехватить коммуникации между затронутыми SDN -контроллерами при условии, что заранее скомпрометированное устройство будет внедрено в сеть. Как сообщает издание The Register, ответственная за поддержку протокола организация Open Networking Foundation (ONF) не будет вносить изменения в OpenFlow, ограничившись рядом рекомендаций, позволяющих снизить риск эксплуатации.

 По словам представителей ONF, данная уязвимость представляет угрозу для сетей в следующих случаях: злоумышленник обращается к порту управления устройства и может проэксплуатировать уязвимость в коммутаторе для получения доступа к его сертификату; уязвимость существует на передающем уровне коммутатора, также позволяя получить доступ к сертификату; злоумышленник может "сгенерировать или приобрести сертификат, которому доверяет контроллер". Все сценарии предполагают защиту соединения переключателя-контроллера сертификатами TLS/SSL, которая является рекомендуемой в данном оборудовании.

 "В спецификации явно не указано, что контроллеры должны сравнивать Datapath ID (DPID) с сертификатом клиента для определенного коммутатора при установлении соединения; данное решение остается за разработчиками контроллеров […]К сожалению, многие контроллеры с открытым исходным кодом не выполняют проверку при установлении защищенных соединений с помощью переключателей OpenFlow, и это является основной причиной существования данной уязвимости", - отметили представители ONF.

 Исправления для собственной реализации ONF - ONOS (the Open Network Operating System) - будут включены в версию 1.13.2. В остальных случаях представители ONF порекомендовали разработчикам контроллеров самостоятельно обновлять свои устройства, следуя опубликованным рекомендациям.

 

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код: