信息來源:FreeBuf
思科最近向企業(yè)網管們發(fā)出警告����,旗下某些網絡設備在處理IPv6包時存在漏洞,該漏洞的影響范圍還不僅限于思科自家的產品��。
IPv6鄰居發(fā)現(xiàn)漏洞安全預警
這是個有關IPv6鄰居發(fā)現(xiàn)包的漏洞����,思科發(fā)布的安全預警對此進行了詳細的解釋(點擊這里)。該漏洞可能會導致遠程未授權DoS攻擊的產生——黑客可以發(fā)送惡意的IPv6鄰居發(fā)現(xiàn)包���,至存在漏洞的設備�。由于這些設備“低效的處理邏輯”���,在處理這樣的IPv6鄰居包之后��,設備會停止再接收IPv6流量�,導致DoS�����。
鄰居發(fā)現(xiàn)協(xié)議(NDP)實際上是IPv6的一個關鍵協(xié)議���,這也算得上相較IPv4的一個進步�。如果用IPv4的思維來看,IPv6的鄰居發(fā)現(xiàn)協(xié)議組合了IPv4的ARP���、ICMP路由器發(fā)現(xiàn)���、ICMP重定向等協(xié)議,所以其功能還是比較多樣的——比如它替代了ARP協(xié)議��,實現(xiàn)IP地址和Mac地址的對應關系�。在IPv4時代是沒有這種較為統(tǒng)一的解決方案的。
隨著IPv6的廣泛使用����,惡意節(jié)點導致各種各樣的攻擊,鄰居發(fā)現(xiàn)協(xié)議的安全性原本就很受人們關注�。按照思科所說,這次發(fā)現(xiàn)的漏洞(CVE-2016-1409)存在于使用了思科IOS��、IOS XR���、IOS XE��、以及NX-OS軟件的設備上�����,只要這些設備配置了全局IPv6地址���,在處理傳入的流量時�����,漏洞就能被利用。
更悲劇的是�����,這個漏洞的影響范圍不僅是思科自家的產品���,按照思科所說��,其他廠商可能也遭到了波及���。
漏洞影響和緩解方案
Switchzilla警告說:
“這個漏洞并不是思科獨有的,所有在處理過程或者硬件中�,無法在前期就丟棄這類數據包的IPv6處理設備,都會受到該漏洞的影響�����。”
思科表示�����,未來會在自家的產品中修復該漏洞����。同時,他們也建議企業(yè)管理員在使用存在該漏洞的設備時��,嚴格控制網絡中的外來IPv6流量:
“應該將IPv6鄰居發(fā)現(xiàn)包僅限在本地�,并在網絡的邊界位置丟棄這些包,這么做會有助于保護企業(yè)內的基礎設施�����。在網絡邊界位置丟棄這些可能產生問題的數據包�����,是目前普遍可行的解決方案�。
或者如果有可能的話,我們可以對IPv6鄰居做靜態(tài)配置��,并在邊界設備上拒絕所有的IPv6鄰居發(fā)現(xiàn)包,暫時遏制這個漏洞����。”
目前�,思科還沒有針對該漏洞還放出補丁。
*參考來源:CG�,F(xiàn)B小編dawner編譯,轉載請注明來自FreeBuf黑客與極客(FreeBuf.COM)
