Loading
0

大量思科设备存在IPv6死亡之Ping漏洞

0612.PNG

思科最近向企业网管们发出警告,旗下某些网络设备在处理IPv6包时存在漏洞,该漏洞的影响范围还不仅限于思科自家的产品。

IPv6邻居发现漏洞安全预警

这是个有关IPv6邻居发现包的漏洞,思科发布的安全预警对此进行了详细的解释(点击这里)。该漏洞可能会导致远程未授权DoS攻击的产生——黑客可以发送恶意的IPv6邻居发现包,至存在漏洞的设备。由于这些设备“低效的处理逻辑”,在处理这样的IPv6邻居包之后,设备会停止再接收IPv6流量,导致DoS。

邻居发现协议(NDP)实际上是IPv6的一个关键协议,这也算得上相较IPv4的一个进步。如果用IPv4的思维来看,IPv6的邻居发现协议组合了IPv4的ARP、ICMP路由器发现、ICMP重定向等协议,所以其功能还是比较多样的——比如它替代了ARP协议,实现IP地址和Mac地址的对应关系。在IPv4时代是没有这种较为统一的解决方案的。

随着IPv6的广泛使用,恶意节点导致各种各样的攻击,邻居发现协议的安全性原本就很受人们关注。按照思科所说,这次发现的漏洞(CVE-2016-1409)存在于使用了思科IOS、IOS XR、IOS XE、以及NX-OS软件的设备上,只要这些设备配置了全局IPv6地址,在处理传入的流量时,漏洞就能被利用。

更悲剧的是,这个漏洞的影响范围不仅是思科自家的产品,按照思科所说,其他厂商可能也遭到了波及。

漏洞影响和缓解方案

Switchzilla警告说:

“这个漏洞并不是思科独有的,所有在处理过程或者硬件中,无法在前期就丢弃这类数据包的IPv6处理设备,都会受到该漏洞的影响。”

思科表示,未来会在自家的产品中修复该漏洞。同时,他们也建议企业管理员在使用存在该漏洞的设备时,严格控制网络中的外来IPv6流量:

“应该将IPv6邻居发现包仅限在本地,并在网络的边界位置丢弃这些包,这么做会有助于保护企业内的基础设施。在网络边界位置丢弃这些可能产生问题的数据包,是目前普遍可行的解决方案。

或者如果有可能的话,我们可以对IPv6邻居做静态配置,并在边界设备上拒绝所有的IPv6邻居发现包,暂时遏制这个漏洞。”

目前,思科还没有针对该漏洞还放出补丁。

【声明】:8090安全小组门户(http://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。