多个Cisco产品报文远程拒绝服务漏洞

2009-09-11T00:00:00
ID SSV:12273
Type seebug
Reporter Root
Modified 2009-09-11T00:00:00

Description

Bugraq ID: 36303 CVE ID:CVE-2009-0627

Cisco多个产品处理特殊构建的TCP报文存在问题,远程攻击者可以利用漏洞对设备进行拒绝服务攻击。 产品在TCP协议中存在一个拒绝服务攻击的问题。通过操作TCP连接状态,攻击者可以使系统处于长时间或在部分条件下可能永久的维护TCP连接的攻击状态。通过大量充足的开放TCP连接,攻击者可以使系统消耗内部缓冲区和内存资源,导致新的TCP连接不能访问目标端口或整个系统。需要重新启动获得正常功能。要利用这些漏洞需要通过完整的三次握手。 中转的网络设备不受此漏洞影响,但是维护TCP连接状态的网络设备受此漏洞影响,如果攻击者可以通过维护TCP状态的中转设备建立足够的TCP连接,设备资源将被消耗完,并设备不能处理更多的TCP连接,导致拒绝服务攻击。如果受影响的设备在网络中转发通信(路由器)将会是TCP状态操作攻击的目标,攻击者可以进行网络性质的拒绝服务攻击条件。 Cisco IOS Software 所有Cisco IOS软件版本受此漏洞影响,运行Cisco IOS软件的设备受此攻击者的情况下会出现大量FINWAIT1状态的TCP连接。show tcp brief命令可以用于显示大量TCP连接,如下所示: Router#show tcp brief | include FIN 63D697C4 192.168.1.10.80 192.168.1.20.38479 FINWAIT1 63032A28 192.168.1.10.80 192.168.1.20.54154 FINWAIT1 645F8068 192.168.1.10.80 192.168.1.20.56287 FINWAIT1 630323F4 192.168.1.10.80 192.168.1.20.6372 FINWAIT1 63D69190 192.168.1.10.80 192.168.1.20.23489 FINWAIT1 Cisco IOS-XE Software 所有Cisco OS-XE软件版本受此漏洞影响,运行Cisco OS-XE软件的设备受此攻击者的情况下会出现大量FINWAIT1状态的TCP连接。show tcp brief命令可以用于显示大量TCP连接,如下所示: Router#show tcp brief | include FIN 63D697C4 192.168.1.10.80 192.168.1.20.38479 FINWAIT1 63032A28 192.168.1.10.80 192.168.1.20.54154 FINWAIT1 645F8068 192.168.1.10.80 192.168.1.20.56287 FINWAIT1 630323F4 192.168.1.10.80 192.168.1.20.6372 FINWAIT1 63D69190 192.168.1.10.80 192.168.1.20.23489 FINWAIT1 Cisco CatOS Software 所有Cisco CatOS软件版本受此漏洞影响,运行Cisco CatOS软件的设备受此攻击者的情况下会出现大量FIN_WAIT_1状态的TCP连接。show netstat命令可以用于显示大量TCP连接,如下所示: Console> (enable) show netstat Active Internet connections (including servers) Proto Recv-Q Send-Q Local Address Foreign Address (state) tcp 0 83 192.168.1.10.23 192.168.1.20.46056 FIN_WAIT_1 tcp 0 83 192.168.1.10.23 192.168.1.20.16305 FIN_WAIT_1 tcp 0 83 192.168.1.10.23 192.168.1.20.14628 FIN_WAIT_1 tcp 0 83 192.168.1.10.23 192.168.1.20.7275 FIN_WAIT_1 tcp 0 83 192.168.1.10.23 192.168.1.20.39559 FIN_WAIT_1 Cisco ASA and Cisco PIX Software 部分Cisco ASA and Cisco PIX软件版本受此漏洞影响,运行Cisco ASA and Cisco PIX软件的设备受此攻击者的情况下会出现大量建立状态的TCP连接。show asp table socket命令可以用于显示大量TCP连接,如下所示: FIREWALL# show asp table socket | grep ESTAB TCP 123a8a6c 192.168.1.10:80 192.168.1.20:46181 ESTAB TCP 123e6d54 192.168.1.10:80 192.168.1.20:29546 ESTAB TCP 1244f78c 192.168.1.10:80 192.168.1.20:40271 ESTAB TCP 124f8d2c 192.168.1.10:80 192.168.1.20:46599 ESTAB TCP 12507f2c 192.168.1.10:80 192.168.1.20:5607 ESTAB 不过普通的通信在Cisco ASA或PIX设备上也显示建立的TCP连接,特别是设备作为VPN连接终端。要证实建立的TCP连接是否属于攻击的一部分,管理需要使用网络嗅探器或Netflow收集终端进行网络监视来判断。 Cisco NX-OS Software 所有运行Cisco NX-OS版本的Cisco Nexus 5000和7000平台受此漏洞影响,运行Cisco NX-OS的Nexus 5005或7000软件的设备受此攻击者的情况下会出现大量FIN_WAIT_1状态的TCP连接。show tcp connection detail命令可以用于显示大量TCP连接,如下所示: NEXUS# show tcp connection detail | include FIN State: FIN_WAIT_1 State: FIN_WAIT_1 State: FIN_WAIT_1 State: FIN_WAIT_1 State: FIN_WAIT_1

Cisco NX-OS Cisco Nexus 5000 Cisco IOS Software Cisco IOS-XE Software Cisco CatOS Software Cisco ASA and Cisco PIX Software 用户可参考如下安全公告获得补丁信息: http://www.cisco.com/warp/public/707/cisco-sa-20090908-tcp24.shtml