研究人員宣稱,最新的知名漏洞BlackNurse,是一種拒絕服務(wù)攻擊,能夠憑借僅僅15到18Mbps的惡意ICMP數(shù)據(jù)包就將防火墻和路由器干掉。
該攻擊會(huì)濫用Internet控制報(bào)文協(xié)議(ICMP)第3類(lèi)代碼為3的“端口不可達(dá)”消息,并且已經(jīng)發(fā)現(xiàn)數(shù)起針對(duì)思科路由器的攻擊事件,以及針對(duì)包括ZyXEL、Sonicwall以及Palo Alto Networks等供應(yīng)商的路由器或防火墻的攻擊事件。發(fā)現(xiàn)這一漏洞的安全研究人員Lenny Hansson和Kenneth J rgensen宣稱該攻擊可以僅用4Mbps的流量即可中斷Cisco ASA 55xx系列的路由器。
研究人員在BlackNurse的網(wǎng)站上寫(xiě)到:“我們發(fā)現(xiàn)思科ASA 55xx系列防火墻產(chǎn)品的問(wèn)題最大,即使選擇拒絕所有通向防火墻的ICMP通訊,防火墻還是會(huì)受到僅用4Mbit就可以造成的DOS(拒絕服務(wù))攻擊。”
TDC的研究人員指出,要延緩BlackNurse攻擊,可通過(guò)簡(jiǎn)單地配置將可信任的源加入允許配置的白名單中即可。通過(guò)在廣域網(wǎng)上將ICMP第3類(lèi)代碼為3進(jìn)行無(wú)效化,能夠輕易地緩解此種攻擊的危害。這也是我們目前所了解的最佳的緩解辦法。
盡管研究人員們相信漏洞是基于設(shè)備控制數(shù)據(jù)包的方式,問(wèn)題發(fā)生的源頭目前仍不清楚。“我們當(dāng)前只發(fā)現(xiàn)基于硬件的防火墻存在問(wèn)題,這些數(shù)據(jù)包會(huì)直接送到CPU”,Hansson和J rgensen兩位研究人員通過(guò)郵件如是告訴本站。
然而,并非所有人都認(rèn)同BlackNurse可能帶來(lái)威脅這一觀點(diǎn)。SANS技術(shù)學(xué)會(huì)的研究院院長(zhǎng)Johannes Ullrich在一篇博客中寫(xiě)到:“目前尚不清楚為何這些特殊的ICMP數(shù)據(jù)包需要如此頻繁地通過(guò)CPU進(jìn)行處理,但在我看來(lái),很可能是由于防火墻試圖對(duì)這些數(shù)據(jù)包進(jìn)行狀態(tài)分析。ICMP不可達(dá)數(shù)據(jù)包中包含了有效載荷中造成錯(cuò)誤的開(kāi)頭幾字節(jié)的數(shù)據(jù),防火墻能夠利用這些有效載荷去判斷錯(cuò)誤是否是由過(guò)去留在網(wǎng)絡(luò)中的合法數(shù)據(jù)包造成,這種分析過(guò)程需要消耗較多的資源”。
思科在一份給本站的聲明中淡化了威脅的程度,認(rèn)為:“這一問(wèn)題并不針對(duì)特定供應(yīng)商,并且該攻擊并不導(dǎo)致安全漏洞,在已知的攻擊事件中,提到的ASA設(shè)備能夠繼續(xù)執(zhí)行和配置安全策略,沒(méi)有出現(xiàn)妥協(xié)。對(duì)于研究中所提到的ASA系列防火墻,其面向DoS攻擊的保護(hù)是多方面的,而且我們與消費(fèi)者們密切合作,確保上游網(wǎng)絡(luò)中的DoS安全,并將其作為最佳實(shí)踐”。
Palo Alto Networks向其客戶發(fā)布的一份有關(guān)BlackNurse的聲明中敘述到,“我們已經(jīng)針對(duì)該問(wèn)題進(jìn)行調(diào)查,并且向購(gòu)買(mǎi)Palo Alto Networks下一代防火墻的客戶解釋?zhuān)搯?wèn)題僅僅會(huì)影響很特殊的,有違最佳實(shí)踐的非通常情況下的應(yīng)用場(chǎng)景”。
Palo Alto為其客戶提供的免受BlackNurse的最佳辦法,包括配置DoS保護(hù)文件來(lái)阻止ICMP以及ICMPv6的數(shù)據(jù)包洪泛攻擊,然而該公司也警告說(shuō)洪泛攻擊可能采用任意協(xié)議類(lèi)型。
“施展攻擊并不需要大量的帶寬”,Hansson和J rgensen告訴本站,他們注意到如果將BlackNurse與類(lèi)似上個(gè)月摧毀Dyn DNS服務(wù)的Mirai DDoS這樣的僵尸網(wǎng)絡(luò)結(jié)合起來(lái),將引起很大的麻煩,因?yàn)檫@種攻擊能夠通過(guò)物聯(lián)網(wǎng)設(shè)備發(fā)起”,我們已經(jīng)見(jiàn)識(shí)了面向思科設(shè)備的4(Mpbs)大小的拒絕服務(wù)攻擊。上傳速率很小的物聯(lián)網(wǎng)設(shè)備能夠從僵尸網(wǎng)絡(luò)中襲來(lái)。這意味著像Mirai的僵尸網(wǎng)絡(luò)能夠一次性攻擊更多的目標(biāo)。這會(huì)比1TBps的單次單一目標(biāo)攻擊更具有威脅。
至于攻擊的來(lái)源,研究人員說(shuō):“現(xiàn)在我們已經(jīng)發(fā)現(xiàn),相信這種攻擊是利用了某種分布式拒絕服務(wù)的攻擊方式。這是基于我們了解到的客戶所遭遇的混合攻擊類(lèi)型總結(jié)所而來(lái)的。”
京公網(wǎng)安備 11010502049343號(hào)