WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Các lỗ hổng trong giao thức BGP sẽ được trình diễn tại hội thảo BlackHat
Các nhà nghiên cứu đến từ công ty Forescout sẽ trình bày việc khai thác các lỗ hổng trong Border Gateway Protocol (BGP) – một giao thức được dùng để trao đổi thông tin định tuyến các kết nối Internet với nhau tại Hội thảo BlackHat (Mỹ). Lần cuối lỗ hổng trong BGP được trình bày cũng tại BlackHat cách đây đã 20 năm.
Ba lỗ hổng được trình diễn gồm có CVE-2022-40302, CVE-2022-40318 và CVE-2022-43681 đều có điểm CVSS là 6,5. Cả ba đều nằm trong phiên bản mới nhất của bản cài đặt bộ phần mềm định tuyến mạng có tên FRRouting, được dùng trong các giải pháp phổ biến như Nvidia Cumulus. Về phần mình, Cumulus đã được các tổ chức như PayPal, AthenalHealth và Qualcomm chấp thuận.
Trọng tâm của lỗ hổng nằm ở việc phân tích cú pháp tin nhắn. Thông thường, người ta sẽ chờ một giao thức kiểm tra xem người dùng có được phép gửi một tin nhắn trước khi xử lý tin nhắn đó hay không. FRRouting lại làm ngược lại, phân tích trước khi xác thực. Vì vậy, kẻ tấn công có thể giả mạo hoặc xâm nhập địa chỉ IP của một BGP ngang hàng đáng tin cậy, từ đó thực hiện tấn công từ chối dịch vụ, gửi các gói không đúng định dạng để khiến nạn nhân không phản hồi trong một khoảng thời gian không xác định.
FRRouting đã vá tất cả ba lỗ hổng này.
Ban đầu, BGP chỉ được sử dụng để định tuyến trên quy mô lớn như các nhà cung cấp dịch vụ Internet, các điểm trao đổi Internet nhưng sau đó với sự phát triển của các trung tâm dữ liệu, giao thức này đã phổ biến hơn trong nội bộ các tổ chức để điều phối các kết nối VPN trên nhiều trang khác nhau.
Trên thế giới có hơn 317.000 máy chủ Internet có mở kết nối BGP, phần lớn trong số này tập trung tại Trung Quốc (92.000) và Hoa Kỳ (57.000). Trong đó, FRRouting chiếm chưa đến 2.000 lượt cài đặt, dù không phải tất cả đều mở kết nối ra ngoài Internet và chỉ khoảng 630 phản hồi các thông tin BGP OPEN không đúng định dạng.
Để giảm thiểu rủi ro từ những lỗ hổng này, các tổ chức được khuyến cáo nên phát triển các kho lưu trữ cụ thể cho các thiết bị chạy trên mạng của họ và các phần mềm chạy trên thiết bị này, tập trung cập nhật bản vá càng sớm càng tốt.
Ba lỗ hổng được trình diễn gồm có CVE-2022-40302, CVE-2022-40318 và CVE-2022-43681 đều có điểm CVSS là 6,5. Cả ba đều nằm trong phiên bản mới nhất của bản cài đặt bộ phần mềm định tuyến mạng có tên FRRouting, được dùng trong các giải pháp phổ biến như Nvidia Cumulus. Về phần mình, Cumulus đã được các tổ chức như PayPal, AthenalHealth và Qualcomm chấp thuận.
Trọng tâm của lỗ hổng nằm ở việc phân tích cú pháp tin nhắn. Thông thường, người ta sẽ chờ một giao thức kiểm tra xem người dùng có được phép gửi một tin nhắn trước khi xử lý tin nhắn đó hay không. FRRouting lại làm ngược lại, phân tích trước khi xác thực. Vì vậy, kẻ tấn công có thể giả mạo hoặc xâm nhập địa chỉ IP của một BGP ngang hàng đáng tin cậy, từ đó thực hiện tấn công từ chối dịch vụ, gửi các gói không đúng định dạng để khiến nạn nhân không phản hồi trong một khoảng thời gian không xác định.
FRRouting đã vá tất cả ba lỗ hổng này.
Ban đầu, BGP chỉ được sử dụng để định tuyến trên quy mô lớn như các nhà cung cấp dịch vụ Internet, các điểm trao đổi Internet nhưng sau đó với sự phát triển của các trung tâm dữ liệu, giao thức này đã phổ biến hơn trong nội bộ các tổ chức để điều phối các kết nối VPN trên nhiều trang khác nhau.
Trên thế giới có hơn 317.000 máy chủ Internet có mở kết nối BGP, phần lớn trong số này tập trung tại Trung Quốc (92.000) và Hoa Kỳ (57.000). Trong đó, FRRouting chiếm chưa đến 2.000 lượt cài đặt, dù không phải tất cả đều mở kết nối ra ngoài Internet và chỉ khoảng 630 phản hồi các thông tin BGP OPEN không đúng định dạng.
Để giảm thiểu rủi ro từ những lỗ hổng này, các tổ chức được khuyến cáo nên phát triển các kho lưu trữ cụ thể cho các thiết bị chạy trên mạng của họ và các phần mềm chạy trên thiết bị này, tập trung cập nhật bản vá càng sớm càng tốt.
Theo Dark Reading