安全產(chǎn)品不“安全”?可致數(shù)據(jù)泄露的SNI漏洞影響Cisco、Fortinet等產(chǎn)品

研究人員稱，利用此漏洞可能使攻擊者竊取數(shù)據(jù)。

Mnemonics Labs研究人員在TLS Client Hello擴展的服務(wù)器名稱指示 (SNI) 中發(fā)現(xiàn)了一個漏洞。并表示，利用此漏洞可能使攻擊者能夠繞過許多安全產(chǎn)品的安全協(xié)議，從而導(dǎo)致數(shù)據(jù)泄露。

這個問題廣泛影響來自不同安全產(chǎn)品供應(yīng)商的不同類型的安全解決方案。目前成功對Cisco、F5 Networks、Palo Alto Networks 和 Fortinet 的產(chǎn)品進行了測試。同時研究人員推斷，許多其他的供應(yīng)商也易受到影響。安全研究人員Morten Marstrander和 Matteo Malvica在博客表示。

該漏洞已注冊為CVE-2021-34749，CVSS評分為5.8。盡管分?jǐn)?shù)不是很高，但此漏洞影響范圍廣，倘若被利用影響后果不可得知。雖然安全漏洞給網(wǎng)絡(luò)帶來極大威脅，但其實在軟件開發(fā)階段，通過靜態(tài)代碼檢測就能規(guī)避掉常見多數(shù)漏洞，從而大大提高軟件安全性。

緩解措施

Mnemonics Lab報告稱，F(xiàn)5和Palo Alto已經(jīng)提供了緩解措施，而Fortinet和Cisco預(yù)計將很快發(fā)布修復(fù)程序。

思科在一份安全公告中表示，其部分產(chǎn)品，包括其網(wǎng)絡(luò)安全設(shè)備和Firepower威脅防御以及某些版本的Snort檢測引擎受SNI漏洞影響，并且正在調(diào)查其他產(chǎn)品是否受到影響。

思科補充說，目前還沒有針對該漏洞的解決方法，但其產(chǎn)品安全事件響應(yīng)團隊沒有發(fā)現(xiàn)該漏洞被廣泛利用的證據(jù)。

F5指出其運行TMOS 14.1.2、SSL Orchestrator 5.5.8的F5 BIG-IP受到影響，Palo Alto Networks表示運行PAN-OS 9.1.1的NGFW受到影響。Fortinet運行FortiOS 6.2.3的 NGFW也受到影響。

SNIcat 漏洞利用

安全研究人員Marstrander和Malvica于去年年初開發(fā)了SNIcat漏洞作為概念驗證。兩人在調(diào)查網(wǎng)絡(luò)安全解決方案如何處理TLS的SNI字段來分類和阻止錯誤的URL/主機名時發(fā)現(xiàn)了該漏洞。

現(xiàn)代的網(wǎng)絡(luò)安全解決方案，如web代理、下一代防火墻和專用TLS攔截和檢查解決方案，都有一個稱為解密鏡像的功能。安全解決方案向鏡像端口提供解密流量的副本，鏡像端口通常連接到檢測解密流量的IDS。

“從安全監(jiān)控的角度來看，這一切都很好。然而，我們發(fā)現(xiàn)連接到鏡像端口的設(shè)備根本不接收TLS握手，這打開了一種利用TLS客戶端Hello執(zhí)行隱形過濾的新方法，”研究人員說。

概念驗證SNIcat工具演示了如何通過將任意數(shù)據(jù)注入合法擴展并將其用作“走私容器”而不將流量復(fù)制到解密鏡像端口來濫用SNI字段，研究人員說。

SNIcat工具有兩個組件：一個被動代理，作為輔助有效載荷投放到已經(jīng)受到攻擊的系統(tǒng)上，以及一個命令和控制服務(wù)器，用于通過開放的互聯(lián)網(wǎng)遠(yuǎn)程控制被動代理。

'聰明的繞路'

Tripwire的首席安全研究員 Craig Young表示，這個漏洞使攻擊者可以利用的一個聰明的繞路，盡管有安全保護設(shè)備，但依舊可以竊取數(shù)據(jù)。

盡管通過TLS握手對允許的服務(wù)器名施加的限制可能會減少暴露于此，但最終它只能限制數(shù)據(jù)逃離受保護網(wǎng)絡(luò)的速率，除非它被限制為僅預(yù)先批準(zhǔn)的值。DNS請求也是如此，它也經(jīng)常被用來掩蓋被竊取的數(shù)據(jù)。

將企業(yè)“死鎖”在不能泄露數(shù)據(jù)的程度上，也會妨礙到業(yè)務(wù)的開展。因此除了依賴外層防御，也要進行軟件安全建設(shè)，以增強自身抵御網(wǎng)絡(luò)攻擊的能力。尤其隨著DevsecOps建設(shè)，軟件安全問題已成為整個開發(fā)流程均需關(guān)注的重點。數(shù)據(jù)顯示，90%以上的網(wǎng)絡(luò)安全問題是由軟件自身的安全漏洞被利用導(dǎo)致，在軟件開發(fā)過程中，通過源代碼安全檢測，查找并修正代碼缺陷及運行時缺陷減少軟件安全漏洞，有助于大幅度提高網(wǎng)絡(luò)抵抗攻擊能力。

參讀鏈接：

https://www.inforisktoday.com/sni-vulnerability-affects-some-security-products-a-17344