[分享] CAN-2003-0567 CISCO IOS 弱點通報

parrot

名稱:  
Cisco Security Advisory: cisco IOS Interface Blocked by IPv4 Packets
  
摘要:  
Cisco公司公佈其IOS上 的DoS弱點。所有執行IOS 並設定為可以處理IPv4封包的router 或 switch都含有此弱點。
目前已有攻擊此弱點的程式碼公佈於Internet上，可被駭客利用。攻擊者 利用傳送惡意IPv4 封包(protocol type 為53、55、77或103)給一個有弱點的設備上的界面， 造成該設備停止處理傳送給該界面的封包。當router或switch接收到這些封包時，會導至輸入介面的queue buffer被填滿，無法在處理其它封包，造成DoS攻擊。
  
受影響系統:
CISO IOS 所有版本
  
解決方案:
建議您先設定ACL (access control list)緩和此弱點的影響。
  
ACL 設定：
由於攻擊來源IP可能是偽造的，因此須將所有的rule應用在router或是switch的介面上。正確使
用 ACLs取決於您的網路拓蹼。ACLs 可能會降低某些系統的效能。在使用 ACLs 前，請先確定您的網路環境不會使用到以下的IP protocol type：53 (SWIPE), 55 (IP Mobility), 77 (Sun ND)或是103 (Protocol Independent Multicast - PIM)。以下為ACL的設定範例：
  
access-list 101 deny 53 any any
access-list 101 deny 55 any any
access-list 101 deny 77 any any
access-list 101 deny 103 any any
!--- 請在這被輸入您先前設定的ACL規則
!--- 並且設定可以使其它protocols通過
!--- 您先前所設定的permit list規則還是會被執行
!--- 您也可以設定下列規則，充許其它正常的封包通過。
access-list 101 permit ip any any  
因目前並沒有對各IOS的昇級版本作測試，技術中心建議您先在測式網路上昇級您的cisco IOS並備份您上
線系統的cisco IOS。確定沒有任程問題後，再昇級您線上的cisco IOS。
  
詳細描述:
Cisco IOS 是非常廣泛使用的網路作業系統。在 Cisco IOS 中有一個弱點，入侵者可能對
有弱點的設備進行阻斷服務攻擊(DoS)。Cisco 已經對這個問題發佈了安全通報：
http://www.cisco.com/warp/public ... 30717-blocked.shtml  
技術中心強烈建議您使用 IOS 的網站閱讀這個文件，並採取適當的措施。
  
入侵者可以傳送特殊的 IPv4 封包(protocol type 為53、55、77或103)給一個有弱點的設備上的界面，
造成該設備停止處理傳送給該界面的封包。引述 Cisco 安全通報的說法：
  
設備接收到這些特殊的 IPv4 封包會使進入的界面停止處理網路通訊。該設備可能會停止
處理傳送給路由器的封包，包括 routing protocol 封包和 ARP 封包。這並不會發出任何
警報，路由器也不會自己修正。這個問題會影響所有執行 Cisco IOS 軟體的 Cisco 裝置
。在採取適當的措施或更新修正的版本之前，這個弱點可能會一再造成功能上的損失。
  
參考資訊:
CAN-2003-0567
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0567
  
參考網站:
http://www.cisco.com/warp/public ... 30717-blocked.shtml
http://www.cert.org/advisories/CA-2003-17.html