.markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body%20h1,.markdown-body%20h2,.markdown-body%20h3,.markdown-body%20h4,.markdown-body%20h5,.markdown-body%20h6{line-height:1.5;margin-top:35px;margin-bottom:10px;padding-bottom:5px}.markdown-body%20h1{font-size:30px;margin-bottom:5px}.markdown-body%20h2{padding-bottom:12px;font-size:24px;border-bottom:1px%20solid%20#ececec}.markdown-body%20h3{font-size:18px;padding-bottom:0}.markdown-body%20h4{font-size:16px}.markdown-body%20h5{font-size:15px}.markdown-body%20h6{margin-top:5px}.markdown-body%20p{line-height:inherit;margin-top:22px;margin-bottom:22px}.markdown-body%20img{max-width:100%}.markdown-body%20hr{border:none;border-top:1px%20solid%20#ffffd;margin-top:32px;margin-bottom:32px}.markdown-body%20code{word-break:break-word;border-radius:2px;overflow-x:auto;background-color:#fff5f5;color:#ff502c;font-size:.87em;padding:.065em%20.4em}.markdown-body%20code,.markdown-body%20pre{font-family:Menlo,Monaco,Consolas,Courier%20New,monospace}.markdown-body%20pre{overflow:auto;position:relative;line-height:1.75}.markdown-body%20pre>code{font-size:12px;padding:15px%2012px;margin:0;word-break:normal;display:block;overflow-x:auto;color:#333;background:#f8f8f8}.markdown-body%20a{text-decoration:none;color:#0269c8;border-bottom:1px%20solid%20#d1e9ff}.markdown-body%20a:active,.markdown-body%20a:hover{color:#275b8c}.markdown-body%20table{display:inline-block!important;font-size:12px;width:auto;max-width:100%;overflow:auto;border:1px%20solid%20#f6f6f6}.markdown-body%20thead{background:#f6f6f6;color:#000;text-align:left}.markdown-body%20tr:nth-child(2n){background-color:#fcfcfc}.markdown-body%20td,.markdown-body%20th{padding:12px%207px;line-height:24px}.markdown-body%20td{min-width:120px}.markdown-body%20blockquote{color:#666;padding:1px%2023px;margin:22px%200;border-left:4px%20solid%20#cbcbcb;background-color:#f8f8f8}.markdown-body%20blockquote:after{display:block;content:""}.markdown-body%20blockquote>p{margin:10px%200}.markdown-body%20ol,.markdown-body%20ul{padding-left:28px}.markdown-body%20ol%20li,.markdown-body%20ul%20li{margin-bottom:0;list-style:inherit}.markdown-body%20ol%20li%20.task-list-item,.markdown-body%20ul%20li%20.task-list-item{list-style:none}.markdown-body%20ol%20li%20.task-list-item%20ol,.markdown-body%20ol%20li%20.task-list-item%20ul,.markdown-body%20ul%20li%20.task-list-item%20ol,.markdown-body%20ul%20li%20.task-list-item%20ul{margin-top:0}.markdown-body%20ol%20ol,.markdown-body%20ol%20ul,.markdown-body%20ul%20ol,.markdown-body%20ul%20ul{margin-top:3px}.markdown-body%20ol%20li{padding-left:6px}.markdown-body%20.contains-task-list{padding-left:0}.markdown-body%20.task-list-item{list-style:none}@media%20(max-width:720px){.markdown-body%20h1{font-size:24px}.markdown-body%20h2{font-size:20px}.markdown-body%20h3{font-size:18px}}
研究人員稱,利用此漏洞可能使攻擊者竊取數(shù)據(jù)����。
Mnemonics%20Labs研究人員在TLS%20Client%20Hello擴(kuò)展的服務(wù)器名稱指示%20(SNI)%20中發(fā)現(xiàn)了一個(gè)漏洞。并表示�����,利用此漏洞可能使攻擊者能夠繞過許多安全產(chǎn)品的安全協(xié)議����,從而導(dǎo)致數(shù)據(jù)泄露。
這個(gè)問題廣泛影響來(lái)自不同安全產(chǎn)品供應(yīng)商的不同類型的安全解決方案�����。目前成功對(duì)Cisco、F5%20Networks�、Palo%20Alto%20Networks%20和%20Fortinet%20的產(chǎn)品進(jìn)行了測(cè)試。同時(shí)研究人員推斷�����,許多其他的供應(yīng)商也易受到影響��。安全研究人員Morten%20Marstrander和%20Matteo%20Malvica在博客表示�。
該漏洞已注冊(cè)為CVE-2021-34749,CVSS評(píng)分為5.8�。盡管分?jǐn)?shù)不是很高,但此漏洞影響范圍廣�,倘若被利用影響后果不可得知�。雖然安全漏洞給網(wǎng)絡(luò)帶來(lái)極大威脅,但其實(shí)在軟件開發(fā)階段�����,通過靜態(tài)代碼檢測(cè)就能規(guī)避掉常見多數(shù)漏洞����,從而大大提高軟件安全性����。
緩解措施
Mnemonics Lab報(bào)告稱����,F(xiàn)5和Palo Alto已經(jīng)提供了緩解措施,而Fortinet和Cisco預(yù)計(jì)將很快發(fā)布修復(fù)程序���。
思科在一份安全公告中表示���,其部分產(chǎn)品�,包括其網(wǎng)絡(luò)安全設(shè)備和Firepower威脅防御以及某些版本的Snort檢測(cè)引擎受SNI漏洞影響,并且正在調(diào)查其他產(chǎn)品是否受到影響�����。
思科補(bǔ)充說(shuō)����,目前還沒有針對(duì)該漏洞的解決方法�����,但其產(chǎn)品安全事件響應(yīng)團(tuán)隊(duì)沒有發(fā)現(xiàn)該漏洞被廣泛利用的證據(jù)��。
F5指出其運(yùn)行TMOS 14.1.2�、SSL Orchestrator 5.5.8的F5 BIG-IP受到影響��,Palo Alto Networks表示運(yùn)行PAN-OS 9.1.1的NGFW受到影響。Fortinet運(yùn)行FortiOS 6.2.3的 NGFW也受到影響�����。
SNIcat 漏洞利用
安全研究人員Marstrander和Malvica于去年年初開發(fā)了SNIcat漏洞作為概念驗(yàn)證����。兩人在調(diào)查網(wǎng)絡(luò)安全解決方案如何處理TLS的SNI字段來(lái)分類和阻止錯(cuò)誤的URL/主機(jī)名時(shí)發(fā)現(xiàn)了該漏洞����。
現(xiàn)代的網(wǎng)絡(luò)安全解決方案,如web代理����、下一代防火墻和專用TLS攔截和檢查解決方案,都有一個(gè)稱為解密鏡像的功能。安全解決方案向鏡像端口提供解密流量的副本�,鏡像端口通常連接到檢測(cè)解密流量的IDS。
“從安全監(jiān)控的角度來(lái)看���,這一切都很好�����。然而����,我們發(fā)現(xiàn)連接到鏡像端口的設(shè)備根本不接收TLS握手�,這打開了一種利用TLS客戶端Hello執(zhí)行隱形過濾的新方法����,”研究人員說(shuō)�����。
概念驗(yàn)證SNIcat工具演示了如何通過將任意數(shù)據(jù)注入合法擴(kuò)展并將其用作“走私容器”而不將流量復(fù)制到解密鏡像端口來(lái)濫用SNI字段�����,研究人員說(shuō)。
SNIcat工具有兩個(gè)組件:一個(gè)被動(dòng)代理�����,作為輔助有效載荷投放到已經(jīng)受到攻擊的系統(tǒng)上�,以及一個(gè)命令和控制服務(wù)器,用于通過開放的互聯(lián)網(wǎng)遠(yuǎn)程控制被動(dòng)代理���。
"聰明的繞路"
Tripwire的首席安全研究員 Craig Young表示��,這個(gè)漏洞使攻擊者可以利用的一個(gè)聰明的繞路����,盡管有安全保護(hù)設(shè)備���,但依舊可以竊取數(shù)據(jù)�。
盡管通過TLS握手對(duì)允許的服務(wù)器名施加的限制可能會(huì)減少暴露于此��,但最終它只能限制數(shù)據(jù)逃離受保護(hù)網(wǎng)絡(luò)的速率����,除非它被限制為僅預(yù)先批準(zhǔn)的值。DNS請(qǐng)求也是如此����,它也經(jīng)常被用來(lái)掩蓋被竊取的數(shù)據(jù)�。
將企業(yè)“死鎖”在不能泄露數(shù)據(jù)的程度上����,也會(huì)妨礙到業(yè)務(wù)的開展。因此除了依賴外層防御�,也要進(jìn)行軟件安全建設(shè),以增強(qiáng)自身抵御網(wǎng)絡(luò)攻擊的能力�����。尤其隨著DevsecOps建設(shè)���,軟件安全問題已成為整個(gè)開發(fā)流程均需關(guān)注的重點(diǎn)����。數(shù)據(jù)顯示�����,90%以上的網(wǎng)絡(luò)安全問題是由軟件自身的安全漏洞被利用導(dǎo)致����,在軟件開發(fā)過程中,通過源代碼安全檢測(cè)�����,查找并修正代碼缺陷及運(yùn)行時(shí)缺陷減少軟件安全漏洞��,有助于大幅度提高網(wǎng)絡(luò)抵抗攻擊能力��。
參讀鏈接:
www.inforisktoday.com/sni-vulnera…
