安全產(chǎn)品不“安全”?可致數(shù)據(jù)泄露的SNI漏洞影響Cisco、Fortinet等產(chǎn)品

mo0n1andin 發(fā)布于2021-08-31 09:44 / 2496人閱讀

摘要：并表示，利用此漏洞可能使攻擊者能夠繞過許多安全產(chǎn)品的安全協(xié)議，從而導(dǎo)致數(shù)據(jù)泄露。思科在一份安全公告中表示，其部分產(chǎn)品，包括其網(wǎng)絡(luò)安全設(shè)備和威脅防御以及某些版本的檢測引擎受漏洞影響，并且正在調(diào)查其他產(chǎn)品是否受到影響。

.markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body%20h1,.markdown-body%20h2,.markdown-body%20h3,.markdown-body%20h4,.markdown-body%20h5,.markdown-body%20h6{line-height:1.5;margin-top:35px;margin-bottom:10px;padding-bottom:5px}.markdown-body%20h1{font-size:30px;margin-bottom:5px}.markdown-body%20h2{padding-bottom:12px;font-size:24px;border-bottom:1px%20solid%20#ececec}.markdown-body%20h3{font-size:18px;padding-bottom:0}.markdown-body%20h4{font-size:16px}.markdown-body%20h5{font-size:15px}.markdown-body%20h6{margin-top:5px}.markdown-body%20p{line-height:inherit;margin-top:22px;margin-bottom:22px}.markdown-body%20img{max-width:100%}.markdown-body%20hr{border:none;border-top:1px%20solid%20#ffffd;margin-top:32px;margin-bottom:32px}.markdown-body%20code{word-break:break-word;border-radius:2px;overflow-x:auto;background-color:#fff5f5;color:#ff502c;font-size:.87em;padding:.065em%20.4em}.markdown-body%20code,.markdown-body%20pre{font-family:Menlo,Monaco,Consolas,Courier%20New,monospace}.markdown-body%20pre{overflow:auto;position:relative;line-height:1.75}.markdown-body%20pre>code{font-size:12px;padding:15px%2012px;margin:0;word-break:normal;display:block;overflow-x:auto;color:#333;background:#f8f8f8}.markdown-body%20a{text-decoration:none;color:#0269c8;border-bottom:1px%20solid%20#d1e9ff}.markdown-body%20a:active,.markdown-body%20a:hover{color:#275b8c}.markdown-body%20table{display:inline-block!important;font-size:12px;width:auto;max-width:100%;overflow:auto;border:1px%20solid%20#f6f6f6}.markdown-body%20thead{background:#f6f6f6;color:#000;text-align:left}.markdown-body%20tr:nth-child(2n){background-color:#fcfcfc}.markdown-body%20td,.markdown-body%20th{padding:12px%207px;line-height:24px}.markdown-body%20td{min-width:120px}.markdown-body%20blockquote{color:#666;padding:1px%2023px;margin:22px%200;border-left:4px%20solid%20#cbcbcb;background-color:#f8f8f8}.markdown-body%20blockquote:after{display:block;content:""}.markdown-body%20blockquote>p{margin:10px%200}.markdown-body%20ol,.markdown-body%20ul{padding-left:28px}.markdown-body%20ol%20li,.markdown-body%20ul%20li{margin-bottom:0;list-style:inherit}.markdown-body%20ol%20li%20.task-list-item,.markdown-body%20ul%20li%20.task-list-item{list-style:none}.markdown-body%20ol%20li%20.task-list-item%20ol,.markdown-body%20ol%20li%20.task-list-item%20ul,.markdown-body%20ul%20li%20.task-list-item%20ol,.markdown-body%20ul%20li%20.task-list-item%20ul{margin-top:0}.markdown-body%20ol%20ol,.markdown-body%20ol%20ul,.markdown-body%20ul%20ol,.markdown-body%20ul%20ul{margin-top:3px}.markdown-body%20ol%20li{padding-left:6px}.markdown-body%20.contains-task-list{padding-left:0}.markdown-body%20.task-list-item{list-style:none}@media%20(max-width:720px){.markdown-body%20h1{font-size:24px}.markdown-body%20h2{font-size:20px}.markdown-body%20h3{font-size:18px}}

研究人員稱，利用此漏洞可能使攻擊者竊取數(shù)據(jù)。

Mnemonics%20Labs研究人員在TLS%20Client%20Hello擴展的服務(wù)器名稱指示%20(SNI)%20中發(fā)現(xiàn)了一個漏洞。并表示，利用此漏洞可能使攻擊者能夠繞過許多安全產(chǎn)品的安全協(xié)議，從而導(dǎo)致數(shù)據(jù)泄露。

這個問題廣泛影響來自不同安全產(chǎn)品供應(yīng)商的不同類型的安全解決方案。目前成功對Cisco、F5%20Networks、Palo%20Alto%20Networks%20和%20Fortinet%20的產(chǎn)品進行了測試。同時研究人員推斷，許多其他的供應(yīng)商也易受到影響。安全研究人員Morten%20Marstrander和%20Matteo%20Malvica在博客表示。

該漏洞已注冊為CVE-2021-34749，CVSS評分為5.8。盡管分數(shù)不是很高，但此漏洞影響范圍廣，倘若被利用影響后果不可得知。雖然安全漏洞給網(wǎng)絡(luò)帶來極大威脅，但其實在軟件開發(fā)階段，通過靜態(tài)代碼檢測就能規(guī)避掉常見多數(shù)漏洞，從而大大提高軟件安全性。

緩解措施

Mnemonics Lab報告稱，F(xiàn)5和Palo Alto已經(jīng)提供了緩解措施，而Fortinet和Cisco預(yù)計將很快發(fā)布修復(fù)程序。

思科在一份安全公告中表示，其部分產(chǎn)品，包括其網(wǎng)絡(luò)安全設(shè)備和Firepower威脅防御以及某些版本的Snort檢測引擎受SNI漏洞影響，并且正在調(diào)查其他產(chǎn)品是否受到影響。

思科補充說，目前還沒有針對該漏洞的解決方法，但其產(chǎn)品安全事件響應(yīng)團隊沒有發(fā)現(xiàn)該漏洞被廣泛利用的證據(jù)。

F5指出其運行TMOS 14.1.2、SSL Orchestrator 5.5.8的F5 BIG-IP受到影響，Palo Alto Networks表示運行PAN-OS 9.1.1的NGFW受到影響。Fortinet運行FortiOS 6.2.3的 NGFW也受到影響。

SNIcat 漏洞利用

安全研究人員Marstrander和Malvica于去年年初開發(fā)了SNIcat漏洞作為概念驗證。兩人在調(diào)查網(wǎng)絡(luò)安全解決方案如何處理TLS的SNI字段來分類和阻止錯誤的URL/主機名時發(fā)現(xiàn)了該漏洞。

現(xiàn)代的網(wǎng)絡(luò)安全解決方案，如web代理、下一代防火墻和專用TLS攔截和檢查解決方案，都有一個稱為解密鏡像的功能。安全解決方案向鏡像端口提供解密流量的副本，鏡像端口通常連接到檢測解密流量的IDS。

“從安全監(jiān)控的角度來看，這一切都很好。然而，我們發(fā)現(xiàn)連接到鏡像端口的設(shè)備根本不接收TLS握手，這打開了一種利用TLS客戶端Hello執(zhí)行隱形過濾的新方法，”研究人員說。

概念驗證SNIcat工具演示了如何通過將任意數(shù)據(jù)注入合法擴展并將其用作“走私容器”而不將流量復(fù)制到解密鏡像端口來濫用SNI字段，研究人員說。

SNIcat工具有兩個組件：一個被動代理，作為輔助有效載荷投放到已經(jīng)受到攻擊的系統(tǒng)上，以及一個命令和控制服務(wù)器，用于通過開放的互聯(lián)網(wǎng)遠程控制被動代理。

"聰明的繞路"

Tripwire的首席安全研究員 Craig Young表示，這個漏洞使攻擊者可以利用的一個聰明的繞路，盡管有安全保護設(shè)備，但依舊可以竊取數(shù)據(jù)。

盡管通過TLS握手對允許的服務(wù)器名施加的限制可能會減少暴露于此，但最終它只能限制數(shù)據(jù)逃離受保護網(wǎng)絡(luò)的速率，除非它被限制為僅預(yù)先批準的值。DNS請求也是如此，它也經(jīng)常被用來掩蓋被竊取的數(shù)據(jù)。

將企業(yè)“死鎖”在不能泄露數(shù)據(jù)的程度上，也會妨礙到業(yè)務(wù)的開展。因此除了依賴外層防御，也要進行軟件安全建設(shè)，以增強自身抵御網(wǎng)絡(luò)攻擊的能力。尤其隨著DevsecOps建設(shè)，軟件安全問題已成為整個開發(fā)流程均需關(guān)注的重點。數(shù)據(jù)顯示，90%以上的網(wǎng)絡(luò)安全問題是由軟件自身的安全漏洞被利用導(dǎo)致，在軟件開發(fā)過程中，通過源代碼安全檢測，查找并修正代碼缺陷及運行時缺陷減少軟件安全漏洞，有助于大幅度提高網(wǎng)絡(luò)抵抗攻擊能力。

參讀鏈接：

www.inforisktoday.com/sni-vulnera…