研究人員宣稱,最新的知名漏洞blacknurse,是一種拒絕服務攻擊,能夠憑借僅僅15到18mbps的惡意icmp資料包就将防火牆和路由器幹掉。
該攻擊會濫用internet控制封包協定(icmp)第3類代碼為3的“端口不可達”消息,并且已經發現數起針對思科路由器的攻擊事件,以及針對包括zyxel、sonicwall以及palo alto networks等供應商的路由器或防火牆的攻擊事件。發現這一漏洞的安全研究人員lenny hansson和kenneth j rgensen宣稱該攻擊可以僅用4mbps的流量即可中斷cisco asa 55xx系列的路由器。
研究人員在blacknurse的網站上寫到:“我們發現思科asa 55xx系列防火牆産品的問題最大,即使選擇拒絕所有通向防火牆的icmp通訊,防火牆還是會受到僅用4mbit就可以造成的dos(拒絕服務)攻擊。”
tdc的研究人員指出,要延緩blacknurse攻擊,可通過簡單地配置将可信任的源加入允許配置的白名單中即可。通過在廣域網上将icmp第3類代碼為3進行無效化,能夠輕易地緩解此種攻擊的危害。這也是我們目前所了解的最佳的緩解辦法。
盡管研究人員們相信漏洞是基于裝置控制資料包的方式,問題發生的源頭目前仍不清楚。“我們目前隻發現基于硬體的防火牆存在問題,這些資料包會直接送到cpu”,hansson和j rgensen兩位研究人員通過郵件如是告訴本站。
然而,并非所有人都認同blacknurse可能帶來威脅這一觀點。sans技術學會的研究院院長johannes ullrich在一篇部落格中寫到:“目前尚不清楚為何這些特殊的icmp資料包需要如此頻繁地通過cpu進行處理,但在我看來,很可能是由于防火牆試圖對這些資料包進行狀态分析。icmp不可達資料包中包含了有效載荷中造成錯誤的開頭幾位元組的資料,防火牆能夠利用這些有效載荷去判斷錯誤是否是由過去留在網絡中的合法資料包造成,這種分析過程需要消耗較多的資源”。
思科在一份給本站的聲明中淡化了威脅的程度,認為:“這一問題并不針對特定供應商,并且該攻擊并不導緻安全漏洞,在已知的攻擊事件中,提到的asa裝置能夠繼續執行和配置安全政策,沒有出現妥協。對于研究中所提到的asa系列防火牆,其面向dos攻擊的保護是多方面的,而且我們與消費者們密切合作,確定上遊網絡中的dos安全,并将其作為最佳實踐”。
palo alto networks向其客戶釋出的一份有關blacknurse的聲明中叙述到,“我們已經針對該問題進行調查,并且向購買palo alto networks下一代防火牆的客戶解釋,該問題僅僅會影響很特殊的,有違最佳實踐的非通常情況下的應用場景”。
palo alto為其客戶提供的免受blacknurse的最佳辦法,包括配置dos保護檔案來阻止icmp以及icmpv6的資料包洪泛攻擊,然而該公司也警告說洪泛攻擊可能采用任意協定類型。
“施展攻擊并不需要大量的帶寬”,hansson和j rgensen告訴本站,他們注意到如果将blacknurse與類似上個月摧毀dyn dns服務的mirai ddos這樣的僵屍網絡結合起來,将引起很大的麻煩,因為這種攻擊能夠通過物聯網裝置發起”,我們已經見識了面向思科裝置的4(mpbs)大小的拒絕服務攻擊。上傳速率很小的物聯網裝置能夠從僵屍網絡中襲來。這意味着像mirai的僵屍網絡能夠一次性攻擊更多的目标。這會比1tbps的單次單一目标攻擊更具有威脅。
至于攻擊的來源,研究人員說:“現在我們已經發現,相信這種攻擊是利用了某種分布式拒絕服務的攻擊方式。這是基于我們了解到的客戶所遭遇的混合攻擊類型總結所而來的。”
本文轉自d1net(轉載)
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)