.markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body%20h1,.markdown-body%20h2,.markdown-body%20h3,.markdown-body%20h4,.markdown-body%20h5,.markdown-body%20h6{line-height:1.5;margin-top:35px;margin-bottom:10px;padding-bottom:5px}.markdown-body%20h1{font-size:30px;margin-bottom:5px}.markdown-body%20h2{padding-bottom:12px;font-size:24px;border-bottom:1px%20solid%20#ececec}.markdown-body%20h3{font-size:18px;padding-bottom:0}.markdown-body%20h4{font-size:16px}.markdown-body%20h5{font-size:15px}.markdown-body%20h6{margin-top:5px}.markdown-body%20p{line-height:inherit;margin-top:22px;margin-bottom:22px}.markdown-body%20img{max-width:100%}.markdown-body%20hr{border:none;border-top:1px%20solid%20#ffffd;margin-top:32px;margin-bottom:32px}.markdown-body%20code{word-break:break-word;border-radius:2px;overflow-x:auto;background-color:#fff5f5;color:#ff502c;font-size:.87em;padding:.065em%20.4em}.markdown-body%20code,.markdown-body%20pre{font-family:Menlo,Monaco,Consolas,Courier%20New,monospace}.markdown-body%20pre{overflow:auto;position:relative;line-height:1.75}.markdown-body%20pre>code{font-size:12px;padding:15px%2012px;margin:0;word-break:normal;display:block;overflow-x:auto;color:#333;background:#f8f8f8}.markdown-body%20a{text-decoration:none;color:#0269c8;border-bottom:1px%20solid%20#d1e9ff}.markdown-body%20a:active,.markdown-body%20a:hover{color:#275b8c}.markdown-body%20table{display:inline-block!important;font-size:12px;width:auto;max-width:100%;overflow:auto;border:1px%20solid%20#f6f6f6}.markdown-body%20thead{background:#f6f6f6;color:#000;text-align:left}.markdown-body%20tr:nth-child(2n){background-color:#fcfcfc}.markdown-body%20td,.markdown-body%20th{padding:12px%207px;line-height:24px}.markdown-body%20td{min-width:120px}.markdown-body%20blockquote{color:#666;padding:1px%2023px;margin:22px%200;border-left:4px%20solid%20#cbcbcb;background-color:#f8f8f8}.markdown-body%20blockquote:after{display:block;content:""}.markdown-body%20blockquote>p{margin:10px%200}.markdown-body%20ol,.markdown-body%20ul{padding-left:28px}.markdown-body%20ol%20li,.markdown-body%20ul%20li{margin-bottom:0;list-style:inherit}.markdown-body%20ol%20li%20.task-list-item,.markdown-body%20ul%20li%20.task-list-item{list-style:none}.markdown-body%20ol%20li%20.task-list-item%20ol,.markdown-body%20ol%20li%20.task-list-item%20ul,.markdown-body%20ul%20li%20.task-list-item%20ol,.markdown-body%20ul%20li%20.task-list-item%20ul{margin-top:0}.markdown-body%20ol%20ol,.markdown-body%20ol%20ul,.markdown-body%20ul%20ol,.markdown-body%20ul%20ul{margin-top:3px}.markdown-body%20ol%20li{padding-left:6px}.markdown-body%20.contains-task-list{padding-left:0}.markdown-body%20.task-list-item{list-style:none}@media%20(max-width:720px){.markdown-body%20h1{font-size:24px}.markdown-body%20h2{font-size:20px}.markdown-body%20h3{font-size:18px}}
研究人員稱���,利用此漏洞可能使攻擊者竊取數據�����。
Mnemonics%20Labs研究人員在TLS%20Client%20Hello擴展的服務器名稱指示%20(SNI)%20中發現了一個漏洞��。并表示�,利用此漏洞可能使攻擊者能夠繞過許多安全產品的安全協議����,從而導致數據泄露。
這個問題廣泛影響來自不同安全產品供應商的不同類型的安全解決方案。目前成功對Cisco��、F5%20Networks��、Palo%20Alto%20Networks%20和%20Fortinet%20的產品進行了測試��。同時研究人員推斷,許多其他的供應商也易受到影響����。安全研究人員Morten%20Marstrander和%20Matteo%20Malvica在博客表示����。
該漏洞已注冊為CVE-2021-34749���,CVSS評分為5.8�。盡管分數不是很高,但此漏洞影響范圍廣,倘若被利用影響后果不可得知����。雖然安全漏洞給網絡帶來極大威脅,但其實在軟件開發階段����,通過靜態代碼檢測就能規避掉常見多數漏洞�����,從而大大提高軟件安全性。
緩解措施
Mnemonics Lab報告稱�,F5和Palo Alto已經提供了緩解措施�,而Fortinet和Cisco預計將很快發布修復程序��。
思科在一份安全公告中表示����,其部分產品�����,包括其網絡安全設備和Firepower威脅防御以及某些版本的Snort檢測引擎受SNI漏洞影響����,并且正在調查其他產品是否受到影響����。
思科補充說,目前還沒有針對該漏洞的解決方法����,但其產品安全事件響應團隊沒有發現該漏洞被廣泛利用的證據����。
F5指出其運行TMOS 14.1.2����、SSL Orchestrator 5.5.8的F5 BIG-IP受到影響�����,Palo Alto Networks表示運行PAN-OS 9.1.1的NGFW受到影響����。Fortinet運行FortiOS 6.2.3的 NGFW也受到影響��。
SNIcat 漏洞利用
安全研究人員Marstrander和Malvica于去年年初開發了SNIcat漏洞作為概念驗證���。兩人在調查網絡安全解決方案如何處理TLS的SNI字段來分類和阻止錯誤的URL/主機名時發現了該漏洞�����。
現代的網絡安全解決方案��,如web代理、下一代防火墻和專用TLS攔截和檢查解決方案��,都有一個稱為解密鏡像的功能�。安全解決方案向鏡像端口提供解密流量的副本,鏡像端口通常連接到檢測解密流量的IDS����。
“從安全監控的角度來看�����,這一切都很好。然而���,我們發現連接到鏡像端口的設備根本不接收TLS握手��,這打開了一種利用TLS客戶端Hello執行隱形過濾的新方法�,”研究人員說�。
概念驗證SNIcat工具演示了如何通過將任意數據注入合法擴展并將其用作“走私容器”而不將流量復制到解密鏡像端口來濫用SNI字段,研究人員說。
SNIcat工具有兩個組件:一個被動代理�,作為輔助有效載荷投放到已經受到攻擊的系統上�,以及一個命令和控制服務器�����,用于通過開放的互聯網遠程控制被動代理�����。
"聰明的繞路"
Tripwire的首席安全研究員 Craig Young表示,這個漏洞使攻擊者可以利用的一個聰明的繞路�,盡管有安全保護設備�,但依舊可以竊取數據�。
盡管通過TLS握手對允許的服務器名施加的限制可能會減少暴露于此,但最終它只能限制數據逃離受保護網絡的速率����,除非它被限制為僅預先批準的值�。DNS請求也是如此����,它也經常被用來掩蓋被竊取的數據。
將企業“死鎖”在不能泄露數據的程度上�����,也會妨礙到業務的開展�����。因此除了依賴外層防御��,也要進行軟件安全建設����,以增強自身抵御網絡攻擊的能力。尤其隨著DevsecOps建設�����,軟件安全問題已成為整個開發流程均需關注的重點��。數據顯示�,90%以上的網絡安全問題是由軟件自身的安全漏洞被利用導致��,在軟件開發過程中�,通過源代碼安全檢測�����,查找并修正代碼缺陷及運行時缺陷減少軟件安全漏洞���,有助于大幅度提高網絡抵抗攻擊能力�����。
參讀鏈接:
www.inforisktoday.com/sni-vulnera…
