Разработчики OpenFlow не будут вносить изменения в протокол ради исправления уязвимости

На минувшей неделе группа исследователей кибербезопасности обнаружила опасную уязвимость в протоколе OpenFlow, позволяющую злоумышленнику перехватить коммуникации между затронутыми SDN -контроллерами при условии, что заранее скомпрометированное устройство будет внедрено в сеть. Как сообщает издание The Register, ответственная за поддержку протокола организация Open Networking Foundation (ONF) не будет вносить изменения в OpenFlow, ограничившись рядом рекомендаций, позволяющих снизить риск эксплуатации.

По словам представителей ONF, данная уязвимость представляет угрозу для сетей в следующих случаях: злоумышленник обращается к порту управления устройства и может проэксплуатировать уязвимость в коммутаторе для получения доступа к его сертификату; уязвимость существует на передающем уровне коммутатора, также позволяя получить доступ к сертификату; злоумышленник может «сгенерировать или приобрести сертификат, которому доверяет контроллер». Все сценарии предполагают защиту соединения переключателя-контроллера сертификатами TLS/SSL, которая является рекомендуемой в данном оборудовании.

«В спецификации явно не указано, что контроллеры должны сравнивать Datapath ID (DPID) с сертификатом клиента для определенного коммутатора при установлении соединения; данное решение остается за разработчиками контроллеров […]К сожалению, многие контроллеры с открытым исходным кодом не выполняют проверку при установлении защищенных соединений с помощью переключателей OpenFlow, и это является основной причиной существования данной уязвимости», - отметили представители ONF.

Исправления для собственной реализации ONF - ONOS (the Open Network Operating System) - будут включены в версию 1.13.2. В остальных случаях представители ONF порекомендовали разработчикам контроллеров самостоятельно обновлять свои устройства, следуя опубликованным рекомендациям.