本周,思科发布安全公告证实,旗下采用Linux内核的网络产品很容易受到潜在危险的拒绝服务漏洞(denial-of-service flaw)攻击。
据了解,代号为CVE-2018-5391的FragmentSmack漏洞首次曝光是在8月份。最初只影响Windows系统,然而最新的变种则会让Linux也中招。目前亚马逊、Juniper Networks以及Linux厂商相继推出了针对性补丁程序。
具体而言,FragmentSmack影响了Linux内核的IP网络堆栈。当在低速攻击下使用分段的IPv4和IPv6数据包时,这个错误可能会使CPU的容量饱和,进而导致受影响设备的拒绝服务状况。对此,RedHat指出,攻击者可以使用FragmentSmack通过发送分散的IP数据包来驱动CPU的使用,而这些IP数据包会触发内核的“时间和计算代价”的重组算法。
思科正在对使用Linux内核版本3.9或更高版本的产品中寻找漏洞,而这些产品已被证实易受FragmentSmack攻击。在过去一个月里,思科一直在核查容易受到影响的产品,目前思科正在对使用Linux内核版本3.9或更高版本的产品中寻找漏洞,而这些产品已被证实易受FragmentSmack攻击。在过去一个月里,思科一直在核查容易受到影响的产品,目前已确定受影响的产品有88种。
目前被确定为易受攻击的一些路由和网络设备包括:
Cisco Cloud Services Platform 2100
Cisco Tetration Analytics
Cisco vEdge 100 Series Routers
Cisco vEdge 1000 Series Routers
Cisco vEdge 2000 Series Routers
Cisco vEdge 5000 Series Routers
Cisco vEdge Cloud Router Platform
Cisco ACI Virtual EdgeCisco Application Policy Infrastructure Controller (APIC)
Cisco DNA Center
Cisco IOS XE Software
Cisco IOx Fog Director
Cisco MDS 9000 Series Multilayer Switches
Cisco Network Assurance Engine
Cisco Nexus 3000 Series Switches
Cisco Nexus 7000 Series Switches
Cisco Nexus 9000 Series Fabric Switches - ACI mode
Cisco Nexus 9000 Series Switches - Standalone, NX-OS mode
Cisco ACI Virtual Edge
Cisco Application Policy Infrastructure Controller (APIC)
Cisco DNA CenterCisco IOS XE Software
Cisco IOx Fog Director
Cisco MDS 9000 Series Multilayer Switches
Cisco Network Assurance Engine
Cisco Nexus 3000 Series Switches
Cisco Nexus 7000 Series Switches
Cisco Nexus 9000 Series Fabric Switches - ACI mode
Cisco Nexus 9000 Series Switches - Standalone, NX-OS mode
Cisco Aironet 1560 Series Access Points
Cisco Aironet 1815 Series Access Points
Cisco Aironet 2800 Series Access Points
Cisco Aironet 3800 Series Access Points
Cisco Mobility Services EngineCisco Wireless LAN Controller
鉴于涉及到的产品线不同,补丁预计会在2018年9月到2019年2月之间陆续推出。而在此之前,思科建议网管人员使用限速措施,如访问控制列表(ACL)或CoPP(Control Plane Policing)来控制进入的IP封包片段。另外,使用外部防火墙或网站前端设备中的ACL也能有效控制IP片段的进入,算是临时的安全防护方案吧。同时,该公司也在调查思科应用策略基础架构控制器(APIC)企业模块是否受到影响。
8月中旬,芬兰国家网络安全中心(NCSC-FI)CERT协调中心(CERT / CC)的漏洞协调小组披露了FragmentSmack和一个类似于DoS的漏洞,并称之为SegmentStack。这些漏洞由美国阿尔托大学通信与网络部的Juha-Matti Tilli和诺基亚贝尔实验室发现的。
而思科也在8月披露了一个DoS漏洞,可对网络安全设备的AsyncOS软件产生类似的影响,远程攻击者可以使用它来耗尽内存,并导致设备停止处理新的TCP连接。
声明:本文来自云有料,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。