安全产品不“安全”?可致数据泄露的SNI漏洞影响Cisco、Fortinet等产品

mo0n1andin 发布于2021-08-31 09:44 / 2485人阅读

摘要：并表示，利用此漏洞可能使攻击者能够绕过许多安全产品的安全协议，从而导致数据泄露。思科在一份安全公告中表示，其部分产品，包括其网络安全设备和威胁防御以及某些版本的检测引擎受漏洞影响，并且正在调查其他产品是否受到影响。

.markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body%20h1,.markdown-body%20h2,.markdown-body%20h3,.markdown-body%20h4,.markdown-body%20h5,.markdown-body%20h6{line-height:1.5;margin-top:35px;margin-bottom:10px;padding-bottom:5px}.markdown-body%20h1{font-size:30px;margin-bottom:5px}.markdown-body%20h2{padding-bottom:12px;font-size:24px;border-bottom:1px%20solid%20#ececec}.markdown-body%20h3{font-size:18px;padding-bottom:0}.markdown-body%20h4{font-size:16px}.markdown-body%20h5{font-size:15px}.markdown-body%20h6{margin-top:5px}.markdown-body%20p{line-height:inherit;margin-top:22px;margin-bottom:22px}.markdown-body%20img{max-width:100%}.markdown-body%20hr{border:none;border-top:1px%20solid%20#ffffd;margin-top:32px;margin-bottom:32px}.markdown-body%20code{word-break:break-word;border-radius:2px;overflow-x:auto;background-color:#fff5f5;color:#ff502c;font-size:.87em;padding:.065em%20.4em}.markdown-body%20code,.markdown-body%20pre{font-family:Menlo,Monaco,Consolas,Courier%20New,monospace}.markdown-body%20pre{overflow:auto;position:relative;line-height:1.75}.markdown-body%20pre>code{font-size:12px;padding:15px%2012px;margin:0;word-break:normal;display:block;overflow-x:auto;color:#333;background:#f8f8f8}.markdown-body%20a{text-decoration:none;color:#0269c8;border-bottom:1px%20solid%20#d1e9ff}.markdown-body%20a:active,.markdown-body%20a:hover{color:#275b8c}.markdown-body%20table{display:inline-block!important;font-size:12px;width:auto;max-width:100%;overflow:auto;border:1px%20solid%20#f6f6f6}.markdown-body%20thead{background:#f6f6f6;color:#000;text-align:left}.markdown-body%20tr:nth-child(2n){background-color:#fcfcfc}.markdown-body%20td,.markdown-body%20th{padding:12px%207px;line-height:24px}.markdown-body%20td{min-width:120px}.markdown-body%20blockquote{color:#666;padding:1px%2023px;margin:22px%200;border-left:4px%20solid%20#cbcbcb;background-color:#f8f8f8}.markdown-body%20blockquote:after{display:block;content:""}.markdown-body%20blockquote>p{margin:10px%200}.markdown-body%20ol,.markdown-body%20ul{padding-left:28px}.markdown-body%20ol%20li,.markdown-body%20ul%20li{margin-bottom:0;list-style:inherit}.markdown-body%20ol%20li%20.task-list-item,.markdown-body%20ul%20li%20.task-list-item{list-style:none}.markdown-body%20ol%20li%20.task-list-item%20ol,.markdown-body%20ol%20li%20.task-list-item%20ul,.markdown-body%20ul%20li%20.task-list-item%20ol,.markdown-body%20ul%20li%20.task-list-item%20ul{margin-top:0}.markdown-body%20ol%20ol,.markdown-body%20ol%20ul,.markdown-body%20ul%20ol,.markdown-body%20ul%20ul{margin-top:3px}.markdown-body%20ol%20li{padding-left:6px}.markdown-body%20.contains-task-list{padding-left:0}.markdown-body%20.task-list-item{list-style:none}@media%20(max-width:720px){.markdown-body%20h1{font-size:24px}.markdown-body%20h2{font-size:20px}.markdown-body%20h3{font-size:18px}}

研究人员称，利用此漏洞可能使攻击者窃取数据。

Mnemonics%20Labs研究人员在TLS%20Client%20Hello扩展的服务器名称指示%20(SNI)%20中发现了一个漏洞。并表示，利用此漏洞可能使攻击者能够绕过许多安全产品的安全协议，从而导致数据泄露。

这个问题广泛影响来自不同安全产品供应商的不同类型的安全解决方案。目前成功对Cisco、F5%20Networks、Palo%20Alto%20Networks%20和%20Fortinet%20的产品进行了测试。同时研究人员推断，许多其他的供应商也易受到影响。安全研究人员Morten%20Marstrander和%20Matteo%20Malvica在博客表示。

该漏洞已注册为CVE-2021-34749，CVSS评分为5.8。尽管分数不是很高，但此漏洞影响范围广，倘若被利用影响后果不可得知。虽然安全漏洞给网络带来极大威胁，但其实在软件开发阶段，通过静态代码检测就能规避掉常见多数漏洞，从而大大提高软件安全性。

缓解措施

Mnemonics Lab报告称，F5和Palo Alto已经提供了缓解措施，而Fortinet和Cisco预计将很快发布修复程序。

思科在一份安全公告中表示，其部分产品，包括其网络安全设备和Firepower威胁防御以及某些版本的Snort检测引擎受SNI漏洞影响，并且正在调查其他产品是否受到影响。

思科补充说，目前还没有针对该漏洞的解决方法，但其产品安全事件响应团队没有发现该漏洞被广泛利用的证据。

F5指出其运行TMOS 14.1.2、SSL Orchestrator 5.5.8的F5 BIG-IP受到影响，Palo Alto Networks表示运行PAN-OS 9.1.1的NGFW受到影响。Fortinet运行FortiOS 6.2.3的 NGFW也受到影响。

SNIcat 漏洞利用

安全研究人员Marstrander和Malvica于去年年初开发了SNIcat漏洞作为概念验证。两人在调查网络安全解决方案如何处理TLS的SNI字段来分类和阻止错误的URL/主机名时发现了该漏洞。

现代的网络安全解决方案，如web代理、下一代防火墙和专用TLS拦截和检查解决方案，都有一个称为解密镜像的功能。安全解决方案向镜像端口提供解密流量的副本，镜像端口通常连接到检测解密流量的IDS。

“从安全监控的角度来看，这一切都很好。然而，我们发现连接到镜像端口的设备根本不接收TLS握手，这打开了一种利用TLS客户端Hello执行隐形过滤的新方法，”研究人员说。

概念验证SNIcat工具演示了如何通过将任意数据注入合法扩展并将其用作“走私容器”而不将流量复制到解密镜像端口来滥用SNI字段，研究人员说。

SNIcat工具有两个组件：一个被动代理，作为辅助有效载荷投放到已经受到攻击的系统上，以及一个命令和控制服务器，用于通过开放的互联网远程控制被动代理。

"聪明的绕路"

Tripwire的首席安全研究员 Craig Young表示，这个漏洞使攻击者可以利用的一个聪明的绕路，尽管有安全保护设备，但依旧可以窃取数据。

尽管通过TLS握手对允许的服务器名施加的限制可能会减少暴露于此，但最终它只能限制数据逃离受保护网络的速率，除非它被限制为仅预先批准的值。DNS请求也是如此，它也经常被用来掩盖被窃取的数据。

将企业“死锁”在不能泄露数据的程度上，也会妨碍到业务的开展。因此除了依赖外层防御，也要进行软件安全建设，以增强自身抵御网络攻击的能力。尤其随着DevsecOps建设，软件安全问题已成为整个开发流程均需关注的重点。数据显示，90%以上的网络安全问题是由软件自身的安全漏洞被利用导致，在软件开发过程中，通过源代码安全检测，查找并修正代码缺陷及运行时缺陷减少软件安全漏洞，有助于大幅度提高网络抵抗攻击能力。

参读链接：

www.inforisktoday.com/sni-vulnera…

GPU云服务器云服务器安全产品不“安全”?可致数据泄露的SNI 常用软件WinRAR中现新安全漏洞可致以下哪项不属于cdn产品安全技术免费的安全产品

文章版权归作者所有，未经允许请勿转载,若此文章存在违规行为，您可以联系管理员删除。

转载请注明本文地址：https://www.ucloud.cn/yun/118641.html

Nagios披露11个安全漏洞严重可致黑客接管IT基础设施

摘要：网络管理系统需要广泛的信任和对网络组件的访问，以便正确监控网络行为和性能是否出现故障和效率低下，称。今年月早些时候，披露了网络监控应用程序中的个安全漏洞，这些漏洞可能被攻击者滥用，在没有任何运营商干预的情况下劫持基础设施。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px...

pkwenda 2021-09-27 13:36 评论0 收藏0
常用软件WinRAR中现新安全漏洞可致攻击者入侵网络修改数据

摘要：软件安全漏洞为企业及个人带来意想不到的网络攻击，这些潜伏在软件中的漏洞为黑客提供了破坏网络及数据的捷径。数据显示，以上的网络安全事件是由软件自身安全漏洞被利用导致的，可以说，不安全的软件大大提高了网络系统遭到攻击的风险。研究人员指出，WinRAR的调查是在观察到MSHTML(又名Trident)呈现的一个JavaScript错误后开始的。MSHTML是一种专为现已停止使用的ie开发的...

idealcn 2021-10-26 09:50 评论0 收藏0
Linphone和MicroSIP软电话中暴露严重安全漏洞可致黑客远程攻击

摘要：安全漏洞为网络系统带来极大的威胁及隐患，而的网络安全事件和安全漏洞相关。根据国家信息安全漏洞共享平台统计，软件漏洞比例最高占全部网络漏洞的，因此减少软件漏洞能有效降低网络安全风险，加强网络抵御恶意软件攻击的能力。安全人员SySS设计的攻击称为SIP Digest Leak，它涉及向目标软电话发送SIP INVITE消息以协商会话，然后发送需要 407代理身份验证HTTP响应状态代码，...

Cciradih 2021-10-19 11:46 评论0 收藏0
一家互联网金融公司的安全保护实践

摘要：而且在我们这种创业公司，这些安全方式很难实践。没有足够的资源和时间，来按照大公司的安全实践来保障产品的安全。但是安全又是互联网金融产品至关重要的事情，一旦受到攻击，进而导致信息泄密或者数据库破坏，后果不堪设想。前言我们是一家普通的 P2P 网贷平台，随着用户量和交易量的上涨，十几个人的研发团队面临了很大的挑战。双十一开始，平台受到了不少黑客的攻击，保证安全的重任也落到了我们研发团队...

?xiaoxiao, 2019-06-21 16:25 评论0 收藏0