Издание The Register сообщает, что коллектив специалистов из Италии разработал новую методику атаки, которая позволяет заполучить важную информацию о конфигурации программно-определяемых сетей (SDN), в том числе сведения о поведении сети, а также настройки сетевой виртуализации и инструментов защиты.
Основной элемент концепции SDN – протокол Openflow, который обеспечивает взаимодействие сетевых устройств и контроллера, который применяется для управления таблицами потоков коммутаторов. На их основе происходит принятие решения о передаче принятого пакета на определенный порт коммутатора.
Исследователи утверждают, что даже одна таблица потока может быть источником важной информации или быть использована для кибератаки по сторонним каналам. Например, злоумышленник может подключиться к портам маршрутизатора, которые применяются для дистанционной отладки, извлечь таблицу потока, осуществить перехват трафика, воспользоваться уязвимостями в операционной системе коммутатора, скопировать таблицу или содержимое памяти.
Как сообщают специалисты, проблемой не затронуты какие-либо конкретные устройства. В рамках атаки, получившей название Know Your Enemy, используется структурная уязвимость программно-конфигурируемой сети, источником которой является специфика управления сетевым потоком. Так как SDN подразумевает взаимодействие с сетью путем отправки правил потоков на коммутаторы, злоумышленник должен выяснить условия, при которых контроллер отправит правило на устройство, и определить политики, активирующие те или иные правила.
По словам экспертов, архитекторы SDN-сетей должны внедрить технологию обфускации потоков, чтобы предотвратить использование ответов SDN для получения доступа к важным данным.