軟件定義交換機(jī)為網(wǎng)絡(luò)運(yùn)營商作出了一系列承諾，然而來自黑帽大會(huì)的最近研究結(jié)果表明，其安全措施仍然沒能完全跟上發(fā)展節(jié)奏。

總部位于芝加哥的安全企業(yè)Hellfire Security公司創(chuàng)始人Gregory Pickett已經(jīng)利用Onie(即開放網(wǎng)絡(luò)安裝環(huán)境)開發(fā)出多種針對(duì)網(wǎng)絡(luò)交換機(jī)的攻擊手段。

Onie是一款基于Linux的小型操作系統(tǒng)，能夠運(yùn)行在裸機(jī)交換機(jī)之上。用戶可以在Onie基礎(chǔ)之上再安裝一款網(wǎng)絡(luò)操作系統(tǒng)，并通過設(shè)計(jì)使其能夠輕松便捷地切換至另一種完全不同的操作系統(tǒng)。

Onie的主要競爭對(duì)手為OpenDaylight，作為軟件定義網(wǎng)絡(luò)項(xiàng)目、其設(shè)計(jì)目標(biāo)在于利用交換機(jī)配置幫助網(wǎng)絡(luò)運(yùn)營商取得更為理想的靈活性水平，同時(shí)保證其不會(huì)被鎖定在單一供應(yīng)商身上。

Pickett的研究工作專注于運(yùn)行在Onie之上的三款網(wǎng)絡(luò)操作系統(tǒng)：Switch Light、Cumulus Linux以及Mellanox OS。他發(fā)現(xiàn)這三款系統(tǒng)當(dāng)中都存在有一系列問題，會(huì)在特定情況下允許他在Onie的固件當(dāng)中安裝一款持久性惡意軟件。

這樣的狀況顯然非常非常令人憂心，因?yàn)轳v留在交換機(jī)當(dāng)中的惡意軟件能夠窺探到流經(jīng)該交換機(jī)的全部流量，從而進(jìn)行大規(guī)模間諜活動(dòng)。Pickett同時(shí)表示，這甚至有可能導(dǎo)致交換機(jī)整體“變磚”，進(jìn)而造成網(wǎng)絡(luò)癱瘓。

他的這款惡意軟件名為“Big Brother”，要讓其發(fā)揮作用，只需要將其安裝在目標(biāo)企業(yè)網(wǎng)絡(luò)之內(nèi)的某臺(tái)用戶設(shè)備當(dāng)中。在此基礎(chǔ)之上，它能夠識(shí)別出交換機(jī)并在其中安裝一款隱秘的第二階段惡意軟件，并將數(shù)據(jù)推送至一臺(tái)命令與控制服務(wù)器。他同時(shí)指出，攻擊者有可能開發(fā)出一款蠕蟲病毒，從而感染給定網(wǎng)絡(luò)當(dāng)中的全部交換機(jī)。

Pickett進(jìn)一步強(qiáng)調(diào)稱，SDN當(dāng)前所面臨的主要問題在于，作為一個(gè)相對(duì)年輕的技術(shù)領(lǐng)域，安全水平及保障措施還沒有完全跟上。各類網(wǎng)絡(luò)操作系統(tǒng)以及Onie往往缺乏驗(yàn)證、加密、訪問控制以及權(quán)限分配等保護(hù)手段。

如果Onie當(dāng)中存在安全漏洞，那就意味著需要由網(wǎng)絡(luò)操作系統(tǒng)對(duì)其進(jìn)行保護(hù)。然而如果攻擊者有能力繞過該操作系統(tǒng)，那么Onie將徹底淪為待宰的羔羊。

“如果大家能夠繞過系統(tǒng)本身，就可以直接面對(duì)核心固件，”Pickett如是說。

Pickett同時(shí)指出，SDN目前面臨的似乎又是那個(gè)雞和蛋的老問題：那些負(fù)責(zé)處理惡意活動(dòng)的工作人員，仿佛壓根不關(guān)心SDN平臺(tái)抑或是網(wǎng)絡(luò)運(yùn)營方面。

“讓我感到好奇的是，如果他們始終將安全保障的希望寄托在對(duì)方身上，”他說，“那結(jié)果實(shí)在太糟糕了。他們之所以存在自己還很安全的幻覺，就是因?yàn)檫@些Linux交換機(jī)的存在外加防火墻防御機(jī)制。”

Pickett已經(jīng)向Switch Light、Cumulus Linux、Mellanox OS以及Onie發(fā)出了問題通知，希望各方能夠快速修復(fù)他所發(fā)現(xiàn)的這項(xiàng)安全漏洞。他還發(fā)現(xiàn)了一項(xiàng)零日安全漏洞，不過并不打算在黑帽以及Def Con大會(huì)上公布，而是直接發(fā)布他開發(fā)出的惡意軟件處理代碼。

他同時(shí)還將整理出一份SDN平臺(tái)待改進(jìn)項(xiàng)目清單以及網(wǎng)絡(luò)操作系統(tǒng)補(bǔ)救措施匯總。Pickett亦會(huì)在本周四的黑帽大會(huì)以及本周六的Def Con大會(huì)上作出主題演講。