思科最近警告企业网络管理员,在处理IPv6包时存在漏洞的网络设备。 这个漏洞的影响范围不限于思科的自身产品。
IPv6邻居发现漏洞安全警告
关于IPv6邻居发现了包的漏洞,思科发布的安全警报对此进行了详细说明。
此漏洞可能会导致发生远程非法DoS攻击的——黑客将恶意IPv6邻居发现包发送到漏洞设备。 由于这些设备是“低效的处理逻辑”,因此在处理此类IPv6邻居包后,设备将停止重新接收IPv6通信并导致DoS。
邻居发现协议(NDP )实际上是IPv6的重要协议,这也可以说是IPv4的进步。 从IPv4的思路来看,由于IPv6邻居发现协议组合了IPv4的ARP、ICMP路由器发现、ICMP重定向等协议,其功能还很多样化——,例如IP地址而不是ARP协议在IPv4时代,没有这种相对统一的解决方案。
随着IPv6的广泛使用,恶意节点引起各种攻击,邻居发现协议的安全性本来就备受关注。 思科表示,此次发现的漏洞(CVE-2016-1409 )存在于使用思科IOS、IOS XR、IOS XE和NX-OS软件的设备中,只要这些设备设置了全局IPv6地址,就会进入
更悲剧的是,这个漏洞的影响范围不仅波及到思科的自身产品,正如思科所说,其他制造商也有可能受到波及。
脆弱性的影响和缓解措施
Switchzilla警告说:
“此漏洞不仅仅限于思科,在处理过程和硬件中,任何无法提前丢弃此类数据包的IPv6处理设备都会受到此漏洞的影响。 ”
思科表示,未来将通过自己的产品修复这一漏洞。 此外,建议企业管理员在使用存在此漏洞的设备时严格控制网络中的外部IPv6流量
“必须将IPv6邻居发现包限制在本地,并在网络边界位置丢弃。 这有助于保护企业内部的基础架构。 丢弃在网络边界位置可能引起这些问题的分组是目前通常可能的解决方案。
可选地,如果可能的话,可以静态地配置IPv6邻居,并且拒绝在边界设备处发现所有IPv6邻居的分组,以暂时抑制这个漏洞。 ”
本文来自d1net (转载)