安全動(dòng)態(tài)

大量思科設(shè)備存在IPv6死亡之Ping漏洞

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2016-06-14    瀏覽次數(shù):
 

信息來源:FreeBuf

0612.PNG

思科最近向企業(yè)網(wǎng)管們發(fā)出警告,旗下某些網(wǎng)絡(luò)設(shè)備在處理IPv6包時(shí)存在漏洞,該漏洞的影響范圍還不僅限于思科自家的產(chǎn)品。

IPv6鄰居發(fā)現(xiàn)漏洞安全預(yù)警

這是個(gè)有關(guān)IPv6鄰居發(fā)現(xiàn)包的漏洞,思科發(fā)布的安全預(yù)警對(duì)此進(jìn)行了詳細(xì)的解釋(點(diǎn)擊這里)。該漏洞可能會(huì)導(dǎo)致遠(yuǎn)程未授權(quán)DoS攻擊的產(chǎn)生——黑客可以發(fā)送惡意的IPv6鄰居發(fā)現(xiàn)包,至存在漏洞的設(shè)備。由于這些設(shè)備“低效的處理邏輯”,在處理這樣的IPv6鄰居包之后,設(shè)備會(huì)停止再接收IPv6流量,導(dǎo)致DoS。

鄰居發(fā)現(xiàn)協(xié)議(NDP)實(shí)際上是IPv6的一個(gè)關(guān)鍵協(xié)議,這也算得上相較IPv4的一個(gè)進(jìn)步。如果用IPv4的思維來看,IPv6的鄰居發(fā)現(xiàn)協(xié)議組合了IPv4的ARP、ICMP路由器發(fā)現(xiàn)、ICMP重定向等協(xié)議,所以其功能還是比較多樣的——比如它替代了ARP協(xié)議,實(shí)現(xiàn)IP地址和Mac地址的對(duì)應(yīng)關(guān)系。在IPv4時(shí)代是沒有這種較為統(tǒng)一的解決方案的。

隨著IPv6的廣泛使用,惡意節(jié)點(diǎn)導(dǎo)致各種各樣的攻擊,鄰居發(fā)現(xiàn)協(xié)議的安全性原本就很受人們關(guān)注。按照思科所說,這次發(fā)現(xiàn)的漏洞(CVE-2016-1409)存在于使用了思科IOS、IOS XR、IOS XE、以及NX-OS軟件的設(shè)備上,只要這些設(shè)備配置了全局IPv6地址,在處理傳入的流量時(shí),漏洞就能被利用。

更悲劇的是,這個(gè)漏洞的影響范圍不僅是思科自家的產(chǎn)品,按照思科所說,其他廠商可能也遭到了波及。

漏洞影響和緩解方案

Switchzilla警告說:

“這個(gè)漏洞并不是思科獨(dú)有的,所有在處理過程或者硬件中,無法在前期就丟棄這類數(shù)據(jù)包的IPv6處理設(shè)備,都會(huì)受到該漏洞的影響?!?/span>

思科表示,未來會(huì)在自家的產(chǎn)品中修復(fù)該漏洞。同時(shí),他們也建議企業(yè)管理員在使用存在該漏洞的設(shè)備時(shí),嚴(yán)格控制網(wǎng)絡(luò)中的外來IPv6流量:

“應(yīng)該將IPv6鄰居發(fā)現(xiàn)包僅限在本地,并在網(wǎng)絡(luò)的邊界位置丟棄這些包,這么做會(huì)有助于保護(hù)企業(yè)內(nèi)的基礎(chǔ)設(shè)施。在網(wǎng)絡(luò)邊界位置丟棄這些可能產(chǎn)生問題的數(shù)據(jù)包,是目前普遍可行的解決方案。

或者如果有可能的話,我們可以對(duì)IPv6鄰居做靜態(tài)配置,并在邊界設(shè)備上拒絕所有的IPv6鄰居發(fā)現(xiàn)包,暫時(shí)遏制這個(gè)漏洞?!?/span>

目前,思科還沒有針對(duì)該漏洞還放出補(bǔ)丁。

 *參考來源:CG,F(xiàn)B小編dawner編譯,轉(zhuǎn)載請(qǐng)注明來自FreeBuf黑客與極客(FreeBuf.COM)

 
 

上一篇:云計(jì)算10周年,小時(shí)代已死!

下一篇:2016年06月14日 聚銘安全速遞