事件通告:「黑護士」的阻斷服務攻擊!可允許攻擊者對多個廠牌的防火牆設備造成影響,建議請儘速確認並進行修正!
2016/11/15
風險等級:
摘  要: 【弱點說明】

多個廠牌的防火牆設備存在弱點,允許攻擊者造成阻斷服務攻擊,目前已知會受到影響的廠牌為Cisco, Zyxel, SonicWall, Palo Alto,

成因:
FW/UTM/NGFW設備在處理ICMP with Type 3 Code 3 packets時會耗用大量CPU資源導致設備中止

測試方法:
https://github.com/jedisct1/blacknurse
hping3 -1 -C 3 -K 3 -i u20 (目標IP)
hping3 -1 -C 3 -K 3 --flood (目標IP)

【影響範圍】

  • Cisco ASA 5506, 5515, 5525 , 5540 (default settings)
  • Cisco 6500 routers with SUP2T and Netflow v9 on the inbound interface - 100% CPU load
  • Cisco ASA 5550 (Legacy) and 5515-X (latest generation)
  • ASA Still surprises
  • Cisco Router 897 - Can be mitigated - The current code from https://www.cymru.com/Documents/secure-ios-template.html will make evil worse.
  • SonicWall - Misconfiguration can be changed and mitigated (Enable Anti-DDOS)
  • Some unverified Palo Alto
  • Palo Alto 5050 Firewalls with firmware 7.1.4-h2
  • Zyxel NWA3560-N (Wireless attack from LAN Side)
  • Zyxel Zywall USG50
  • Fortinet v5.4.1 - One CPU consumed
  • Fortigate units 60c and 100D (even with drop ICMP on)

【建議措施】

  • 緩解措施:deny ICMP type 3 messages
  • 可能修補方式:待原廠釋出更新
  • 【參考資料】

    【更新紀錄】

    • v1.0 (2016/11/15):發佈事件通告。