Software Defined Networks

SDN-Switches sind verletzlich gegen Malware

von - 11.08.2015
SDN-Netzwerk
Foto: Shutterstock/asharkyu
SDN-basierte (Software Defined Networking) Switches lassen sich einfach aushebeln, wie ein Security-Forscher zeigt.
SDN-Switches (Software Defined Networking) haben Sicherheitsprobleme, wie die Untersuchungen eines IT-Security-Spezialisten zeigen, die an der diesjährigen Black-Hat- und Def-Con-Konferenz vorgestellt wurden. So hat Gregory Pickett, Gründer der IT-Security-Firma Hellfire Security mit Sitz in Chicago, Angriffe entwickelt, die sich gegen Netzwerkgeräte richten, welche Onie (Open Network Install Environment) nutzen.
Onie-Switches
SDN-Risiko: Auf Open Network Install Environment (Onie) aufsetzende Netzwerk-OS sind infizierbar.
(Quelle: Onie )
Bei Onie handelt es sich um ein Linux-basiertes Betriebssystem, das einen sogenannten Bare-Metal-Switch ausführt. Das eigentliche Netzwerkbetriebssystem wird über Onie gestülpt. Dadurch lässt es sich leicht durch ein anderes ersetzen. Onie kann als Ergänzung zu OpenDaylight betrachtet werden, ein weiteres SDN-Projekt, das vor allem bei der Switch-Konfiguration Netzwerk-Administratoren mehr Flexibilität verspricht.
Die Untersuchungen von Pickett haben nun schwerwiegende Security-Mängel festgestellt. Betrachtet wurden drei Betriebssysteme, die auf Onie ausgeführt werden können: Cumulus Linux, Switch Light und Mellanox OS. Bei all diesen Varianten hat er eine Reihe von Sicherheitsproblemen gefunden.
Zum Teil konnte er ein Stück beständiger Malware direkt in Onies Firmware installieren. Im Grunde handelt es sich hierbei um ein Worst Case Scenario, denn Malware im Switch könnte den kompletten Netzwerkverkehr aushorchen oder ein Netzwerk lahmlegen.
Bei Picketts Malware, die er sinnigerweise Big Brother getauft hat, ist zudem der Infektionsweg einfach. Dieser läuft nämlich über den Desktop-Rechner eines Anwenders, der am Firmennetz hängt. Vom PC aus sucht sich Big Brother selbstständig den Switch, installiert dort einen Ableger, der sich sodann mit einer Kommandozentrale des Angreifers verbindet. Laut Pickett ist es zudem dankbar, einen Wurm zu programmieren, der alle Switches eines Netzwerks infiziert.
Verwandte Themen