Kontroler OpenDaylight 0.15.3 jest podatny na atak typu topology poisoning, polegający na manipulacji pakietami discovery poprzez żądania API. Atakujący może sfałszować widok topologii sieci SDN, co zagraża integralności i poufności sterowania ruchem sieciowym.
▸ Pokaż oryginał (EN)
The OpenDaylight 0.15.3 controller allows topology poisoning via API requests because an application can manipulate the path that is taken by discovery packets.
Aplikacja połączona z kontrolerem OpenDaylight może za pomocą żądań API manipulować ścieżką, którą podążają pakiety discovery używane do wykrywania topologii sieci. Poprzez kontrolowanie trasy tych pakietów atakujący jest w stanie wstrzyknąć fałszywe informacje o topologii sieci do kontrolera SDN. W rezultacie kontroler buduje nieprawidłowy obraz sieci, który może być następnie wykorzystany do przekierowania ruchu lub ukrycia rzeczywistych połączeń.
Atakujący może uzyskać nieautoryzowany dostęp do poufnych informacji o topologii sieci (naruszenie poufności) oraz zmanipulować tablice routingu i decyzje forwarding kontrolera SDN (naruszenie integralności), co może prowadzić do przechwycenia lub przekierowania ruchu sieciowego.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się monitorowanie zgłoszenia DISCOVERY-2 w systemie Jira projektu OpenDaylight w celu śledzenia postępów poprawki. Dodatkowo należy ograniczyć dostęp do API kontrolera wyłącznie do zaufanych aplikacji i segmentów sieci.
OpenDaylight w wersji 0.15.3 (kontroler SDN)
W referencjach dostępne są repozytoria GitHub (mzc796/marionette_odl oraz mzc796/marionette_onos) zawierające kod demonstracyjny ataku, co wskazuje na publiczną dostępność proof-of-concept. Podatność dotyczy wyłącznie środowisk SDN opartych na OpenDaylight.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N