研究人员称,利用此漏洞可能使攻击者窃取数据。
Mnemonics Labs研究人员在TLS Client Hello扩展的服务器名称指示 (SNI) 中发现了一个漏洞。并表示,利用此漏洞可能使攻击者能够绕过许多安全产品的安全协议,从而导致数据泄露。
这个问题广泛影响来自不同安全产品供应商的不同类型的安全解决方案。目前成功对Cisco、F5 Networks、Palo Alto Networks 和 Fortinet 的产品进行了测试。同时研究人员推断,许多其他的供应商也易受到影响。安全研究人员Morten Marstrander和 Matteo Malvica在博客表示。
该漏洞已注册为CVE-2021-34749,CVSS评分为5.8。尽管分数不是很高,但此漏洞影响范围广,倘若被利用影响后果不可得知。虽然安全漏洞给网络带来极大威胁,但其实在软件开发阶段,通过静态代码检测就能规避掉常见多数漏洞,从而大大提高软件安全性。
缓解措施
Mnemonics Lab报告称,F5和Palo Alto已经提供了缓解措施,而Fortinet和Cisco预计将很快发布修复程序。
思科在一份安全公告中表示,其部分产品,包括其网络安全设备和Firepower威胁防御以及某些版本的Snort检测引擎受SNI漏洞影响,并且正在调查其他产品是否受到影响。
思科补充说,目前还没有针对该漏洞的解决方法,但其产品安全事件响应团队没有发现该漏洞被广泛利用的证据。
F5指出其运行TMOS 14.1.2、SSL Orchestrator 5.5.8的F5 BIG-IP受到影响,Palo Alto Networks表示运行PAN-OS 9.1.1的NGFW受到影响。Fortinet运行FortiOS 6.2.3的 NGFW也受到影响。
SNIcat 漏洞利用
安全研究人员Marstrander和Malvica于去年年初开发了SNIcat漏洞作为概念验证。两人在调查网络安全解决方案如何处理TLS的SNI字段来分类和阻止错误的URL/主机名时发现了该漏洞。
现代的网络安全解决方案,如web代理、下一代防火墙和专用TLS拦截和检查解决方案,都有一个称为解密镜像的功能。安全解决方案向镜像端口提供解密流量的副本,镜像端口通常连接到检测解密流量的IDS。
“从安全监控的角度来看,这一切都很好。然而,我们发现连接到镜像端口的设备根本不接收TLS握手,这打开了一种利用TLS客户端Hello执行隐形过滤的新方法,”研究人员说。
概念验证SNIcat工具演示了如何通过将任意数据注入合法扩展并将其用作“走私容器”而不将流量复制到解密镜像端口来滥用SNI字段,研究人员说。
SNIcat工具有两个组件:一个被动代理,作为辅助有效载荷投放到已经受到攻击的系统上,以及一个命令和控制服务器,用于通过开放的互联网远程控制被动代理。
'聪明的绕路'
Tripwire的首席安全研究员 Craig Young表示,这个漏洞使攻击者可以利用的一个聪明的绕路,尽管有安全保护设备,但依旧可以窃取数据。
尽管通过TLS握手对允许的服务器名施加的限制可能会减少暴露于此,但最终它只能限制数据逃离受保护网络的速率,除非它被限制为仅预先批准的值。DNS请求也是如此,它也经常被用来掩盖被窃取的数据。
将企业“死锁”在不能泄露数据的程度上,也会妨碍到业务的开展。因此除了依赖外层防御,也要进行软件安全建设,以增强自身抵御网络攻击的能力。尤其随着DevsecOps建设,软件安全问题已成为整个开发流程均需关注的重点。数据显示,90%以上的网络安全问题是由软件自身的安全漏洞被利用导致,在软件开发过程中,通过源代码安全检测,查找并修正代码缺陷及运行时缺陷减少软件安全漏洞,有助于大幅度提高网络抵抗攻击能力。
参读链接:
